PERCAYA adalah kata yang muncul di benak kita saat berbicara tentang Otoritas Sertifikat. StartSSL, otoritas sertifikat yang menyediakan sertifikat SSL gratis dengan validitas satu tahun untuk penggunaan non-komersial. Inisiatif yang bertujuan untuk mengamankan lalu lintas internet kini telah kehilangan KEPERCAYAAN – StartSSL tidak dipercaya! CA kehilangan kepercayaan dengan baik selama Oktober 2016 – di bawah ini adalah pernyataan dari Mozilla. Nantikan pembaruan di bawah ini terkait penghentian layanan SSL StartCom.
Mozilla telah menemukan bahwa Otoritas Sertifikat (CA) yang disebut WoSign telah mengalami sejumlah kegagalan teknis dan manajemen. Yang paling serius, kami menemukan bahwa mereka memundurkan sertifikat SSL untuk mengatasi tenggat waktu bahwa CA berhenti menerbitkan sertifikat SSL SHA-1 pada 1 Januari 2016. Selain itu, Mozilla menemukan bahwa WoSign telah memperoleh kepemilikan penuh dari CA lain yang disebut StartCom dan gagal mengungkapkan ini, sebagaimana diwajibkan oleh kebijakan Mozilla.
Baca selengkapnya.
Juga, pernyataan dari Google.
Google telah menetapkan bahwa dua CA, WoSign dan StartCom, tidak mempertahankan standar tinggi yang diharapkan dari CA dan tidak akan lagi dipercaya oleh Google Chrome
Baca selengkapnya.
Saya memiliki Sertifikat SSL yang dikeluarkan oleh StartSSL, apakah ini akan memengaruhi situs web saya?
Jawabannya adalah YA dan TIDAK .
Ya , jika sertifikat Anda diterbitkan setelah 21 Oktober 2016 00:00:00 UTC. Karena mereka tidak dipercaya oleh browser.
Tidak , jika sertifikat Anda diterbitkan sebelum 21 Oktober 2016 00:00:00 UTC. Browser dapat tetap percaya selama mematuhi kebijakan browser. Tapi itu berisiko, karena Anda tidak pernah tahu kapan browser akan berhenti mempercayainya juga.
Sertifikat yang dikeluarkan oleh StartSSL akan kedaluwarsa dan memperbaruinya akan menyelesaikan masalah masalah?
Tidak! Faktanya, situs ini menggunakan sertifikat yang dikeluarkan oleh StartSSL dan akan diperbarui. Dan saat saya mencoba memperbaruinya, inilah yang dikatakan StartSSL.
StartSSL CA tidak dipercaya selama Oktober 2016 dan enam bulan sejak April 2017. Jadi, saya berharap perusahaan membuat perubahan yang diperlukan untuk mematuhi kebijakan CA dan pertimbangan ulang telah diminta ke Google, Mozilla, dan Apple. Tapi sayangnya, itu tidak terjadi. Saya memperbarui dan menginstal sertifikat baru untuk hanya melihat peringatan keamanan oleh browser.
Sertifikat StartSSL akan dipercaya lagi?
Semoga setelah beberapa bulan. Tapi sudah enam bulan sejak tidak dipercaya dan sertifikat yang dikeluarkan bahkan setelah 6 bulan tidak dipercaya oleh browser. Sudahkah mereka mengajukan permintaan ke Google, Mozilla &Apple untuk pertimbangan ulang? Bahkan situs resmi StartSSL tidak menyebutkan kapan otoritas tersebut akan dipercaya lagi, tetapi mereka tetap menjual sertifikat. Namun, untuk saat ini, tidak disarankan menggunakan StartSSL.
Pembaruan 02-Des-2017: Layanan StartSSL StartCom telah dihentikan! Di bawah ini adalah email dari StartCom mengenai penghentian layanan mereka.
Jadi, apa alternatifnya?
Alternatif untuk StartSSL
a) Anda dapat membeli sertifikat komersial dari penyedia sertifikat tepercaya.
(atau)
b) Pilih Penyedia Sertifikat gratis lainnya – seperti LetsEncrypt.
Bagaimana cara mengamankan Situs Anda menggunakan LetsEncrypt?
LetsEncrypt adalah Otoritas Sertifikat gratis, otomatis, dan terbuka yang menyediakan sertifikat SSL dengan validitas 90 hari.
Menginstal sertifikat LetsEncrypt cukup sederhana. Yang perlu Anda lakukan adalah, gunakan Certbot – skrip yang secara otomatis meminta sertifikat dari LetsEncrypt dan mengaktifkan HTTPS di situs Anda. Certbot mendukung Apache, Ngnix, dan Haproxy.
Langkah 1 :Unduh Certbot
# wget https://dl.eff.org/certbot-auto
Langkah 2 :Setel izin eksekusi
# chmod a+x certbot-auto
Langkah 3 :Lihat berbagai opsi yang didukung oleh skrip.
# ./certbot-auto -h
Script mendukung plugin untuk server web seperti yang ditunjukkan di bawah ini:
--apache Use the Apache plugin for authentication & installation --standalone Run a standalone webserver for authentication --nginx Use the Nginx plugin for authentication & installation --webroot Place files in a server's webroot folder for authentication --manual Obtain certs interactively, or using shell script hooks
Secara default, skrip akan mendapatkan dan menginstal sertifikat di server web Anda saat ini. Jika Anda hanya perlu mendapatkan sertifikat dan tidak ingin menginstalnya di server web, gunakan dengan tegas pilihan seperti yang ditunjukkan di bawah ini:
# ./certbot-auto --apache certonly
Pengujian dan Dry-run: Opsi di bawah ini dapat digunakan untuk meminta sertifikat pengujian dan menjalankan uji coba pembaruan sertifikat.
--test-cert Obtain a test cert from a staging server --dry-run Test "renew" or "certonly" without saving any certs to disk
Certbot tidak mendukung banyak Virtual Host dalam satu file konfigurasi
certbot script membutuhkan semua domain Anda untuk dikonfigurasi dalam file konfigurasi Virtual Hosts yang terpisah. Misalnya, saya telah menyiapkan VirtualHosts untuk semua domain saya (termasuk domain primer dan subdomain) di httpd.conf file – satu file yang berisi banyak vhost. Dalam hal ini, certbot skrip dapat memperoleh sertifikat untuk semua domain, tetapi tidak dapat mengotentikasi dirinya sendiri untuk dipasang di server web. Menurut utas ini, perilaku itu disengaja untuk menghindari kesalahan saat memasang sertifikat. Jadi, jika Anda memiliki beberapa host virtual yang dikonfigurasi dalam satu file, maka Anda perlu membaginya menjadi file host virtual yang berbeda sebelum menjalankan certbot-auto perintah.
Dapatkan sertifikat dari LetsEncrypt dan Instal
# ./certbot-auto Obtaining a new certificate Performing the following challenges: tls-sni-01 challenge for domaina.com tls-sni-01 challenge for sub.domainb.com Waiting for verification... Cleaning up challenges Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem Deploying Certificate for domaina.com to VirtualHost /etc/httpd/conf.d/domaina-com.conf Deploying Certificate for domainb.com to VirtualHost /etc/httpd/conf.d/domainb-com.conf
Di mana sertifikat disimpan?
Semua sertifikat langsung akan disimpan di bawah /etc/letsencrypt/live/ . Juga periksa direktori lain di bawah /etc/letsencrypt .
[letsencrypt] # ls accounts archive csr keys live options-ssl-apache.conf renewal
Apa validitas Sertifikat yang diterbitkan oleh LetsEncrypt?
Gunakan openssl perintah untuk memverifikasi validitas sertifikat seperti yang ditunjukkan di bawah ini:
# openssl x509 -startdate -enddate -in /etc/letsencrypt/live/domaina.com/cert.pem notBefore=May 4 09:29:00 2017 GMT notAfter=Aug 2 09:29:00 2017 GMT
Perpanjang Sertifikat
Karena sertifikat yang dikeluarkan oleh Let's Encrypt akan kedaluwarsa dalam 90 hari, Anda perlu memperbarui sertifikat secara otomatis sebelum kedaluwarsa. ‘memperbarui ‘ akan memungkinkan Anda untuk memperbarui sertifikat dan –dry-run opsi ini akan membantu Anda untuk mensimulasikan proses pembaruan.
$./certbot-auto renew
Simulasikan perpanjangan sertifikat:
$./certbot-auto renew --dry-run ------------------------------------------------------------------------------- Processing /etc/letsencrypt/renewal/domaina.com.conf ------------------------------------------------------------------------------- Cert not due for renewal, but simulating renewal for dry run Renewing an existing certificate Performing the following challenges: tls-sni-01 challenge for domaina.com Waiting for verification... Cleaning up challenges Generating key (2048 bits), not saving to file Creating CSR: not saving to file ------------------------------------------------------------------------------- new certificate deployed with reload of apache server; fullchain is /etc/letsencrypt/live/domaina.com/fullchain.pem ------------------------------------------------------------------------------- ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates below have not been saved.) Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/domaina.com/fullchain.pem (success) ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates above have not been saved.) IMPORTANT NOTES: - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
Siapkan tugas Cron untuk perpanjangan sertifikat otomatis
# crontab -e
Dan tambahkan baris di bawah ini:
0 0 * * * /usr/bin/certbot-auto renew 30 13 * * * /usr/bin/certbot-auto renew
Catatan :Ingatlah untuk menyetel jalur yang benar ke certbot-auto skrip dan pastikan cron dijalankan dua kali sehari. Nah, certbot-auto tidak akan melakukan apa pun kecuali sertifikat jatuh tempo untuk perpanjangan.