3 poin oleh GN⁺ 2024-11-21 | 1 komentar | Bagikan ke WhatsApp
  • Di tengah situasi ketika informasi pribadi dan bisnis makin sering dipertukarkan di internet, Let’s Encrypt muncul sebagai otoritas sertifikat yang ingin menurunkan hambatan adopsi TLS melalui sertifikat server gratis
  • Browser dan server sebenarnya sudah mendukung TLS, tetapi bagi operator, penerbitan, pemasangan, dan pembaruan sertifikat merupakan pekerjaan yang rumit dan juga berbiaya
  • Mozilla, Cisco, Akamai, EFF, IdenTrust, dan para peneliti University of Michigan bekerja sama melalui ISRG untuk mendorong penyediaan infrastruktur pada kuartal kedua 2015
  • Prinsip operasionalnya adalah gratis, otomatis, aman, transparan, terbuka, dan kolaboratif, termasuk publikasi catatan penerbitan dan pencabutan serta protokol standar terbuka
  • Fokusnya bukan pada keamanan yang dikendalikan organisasi tertentu, melainkan membangun keamanan internet yang universal dan terbuka yang bisa digunakan seluruh komunitas

Hambatan sertifikat server yang menghalangi penyebaran TLS

  • Informasi pribadi dan bisnis makin sering dipertukarkan melalui internet, tetapi pengguna tidak selalu mudah mengetahui kapan pengiriman seperti itu terjadi
  • TLS adalah teknologi penerus SSL, dan sudah didukung oleh browser di semua perangkat serta server di pusat data
  • Inti dari komunikasi yang dilindungi TLS adalah sertifikat kunci publik yang membuktikan bahwa pengguna benar-benar sedang berkomunikasi dengan server yang dimaksud
  • Bagi banyak operator server, bahkan sertifikat server dasar pun tetap menjadi beban
    • Proses pengajuannya bisa membingungkan
    • Biasanya berbayar
    • Pemasangan yang benar cukup rumit
    • Pembaruan merepotkan

Otoritas sertifikat gratis dan otomatis yang diusulkan Let’s Encrypt

  • Let’s Encrypt adalah otoritas sertifikat gratis baru yang dibangun di atas kolaborasi dan keterbukaan
  • Pemilik domain dapat memperoleh sertifikat server dasar yang tervalidasi untuk domain mereka melalui proses satu klik
  • Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, IdenTrust, dan para peneliti University of Michigan bekerja sama melalui Internet Security Research Group (ISRG)
  • ISRG adalah badan hukum nirlaba kepentingan publik di California, dan juga menyambut partisipasi organisasi lain yang memiliki tujuan yang sama
  • Prinsip operasionalnya adalah sebagai berikut
    • Gratis: pemilik domain dapat memperoleh sertifikat tervalidasi untuk domain tersebut tanpa biaya
    • Otomatis: pendaftaran sertifikat dilakukan selama proses instalasi atau konfigurasi dasar server, dan pembaruan dijalankan otomatis di latar belakang
    • Aman: berperan sebagai platform untuk menerapkan teknik keamanan terbaru dan praktik terbaik
    • Transparan: catatan penerbitan dan pencabutan sertifikat dipublikasikan agar bisa diperiksa siapa saja
    • Terbuka: protokol penerbitan dan pembaruan otomatis dibuat sebagai standar terbuka, dan sebanyak mungkin perangkat lunak disediakan sebagai open source
    • Kolaboratif: dijalankan sebagai upaya bersama yang menguntungkan seluruh komunitas, seperti halnya protokol internet
  • Informasi tentang ISRG dan para mitra dapat dilihat di halaman About

1 komentar

 
GN⁺ 2024-11-21
Opini Hacker News
  • Jelas salah satu layanan terbaik; menghentikan bisnis jual-beli sertifikat dan membuat internet lebih aman
    Dulu, koneksi HTTPS hanya dipakai untuk proyek yang “serius” karena biaya sertifikat jauh lebih mahal daripada domain. Biasanya orang mulai dulu tanpa sertifikat, lalu kalau berhasil baru membayar sekitar 100 dolar untuk membeli sertifikat

    • Masih cukup banyak orang yang, karena belum tahu, membeli sendiri sertifikat setiap tahun dari penyedia hosting atau membayar perpanjangan otomatis seperti tahun 2013
    • Ada proxy yang disetel asal-asalan sehingga meminta sertifikat untuk domain apa pun yang dimasukkan; penyerang mengetahui hal itu dan terus mengirim permintaan HTTP dengan subdomain acak
      Saat menemukannya, yang pertama terpikir bukan “bagaimana kalau saya diblokir oleh Let’s Encrypt”, melainkan “maaf karena konfigurasi malas saya memberi beban yang tidak perlu pada Let’s Encrypt”. Let’s Encrypt adalah hal terbaik yang terjadi pada web setidaknya dalam 10 tahun terakhir
    • Mozilla memang banyak dikritik, tetapi letsencrypt saja sudah membuat dunia menjadi tempat yang lebih baik
      Sebelumnya saya sama sekali tidak memakai SSL untuk layanan-layanan saya. Karena manfaatnya tidak sepadan dengan biayanya. Sejak itu, saya tidak pernah tidak memakainya
    • Sebelumnya juga ada layanan yang memberi sertifikat “sungguhan” gratis untuk satu domain, tetapi prosesnya rumit dan merepotkan
      Kalau membutuhkan sertifikat wildcard untuk mencakup banyak subdomain proyek pribadi, biayanya tiba-tiba menjadi sangat mahal; senang masalah ini terselesaikan sepenuhnya
    • Google/Chrome dan Firefox juga berjasa membuat otoritas sertifikat yang gratis dan terbuka menjadi mungkin
  • Menurut tolok ukur kami, ulang tahun ke-10 jatuh pada 2025, tetapi kami berterima kasih atas kata-kata hangat di sini
    Hari ini kira-kira genap 10 tahun sejak pengumuman publik bahwa Let’s Encrypt akan diluncurkan, dan tahun depan adalah 10 tahun sejak Let’s Encrypt benar-benar menerbitkan sertifikat pertamanya: https://letsencrypt.org/2015/09/14/our-first-cert/
    Pada Desember 2015, jadi sekitar 9 tahun lalu dari hari ini, layanan ini bisa digunakan semua orang tanpa undangan: https://letsencrypt.org/2015/12/03/entering-public-beta/

    • Kebetulan sekali, tepatnya Desember 2015 itu sempurna bagi saya
      Saat itu saya hanya punya uang untuk membeli domain dan tidak punya biaya untuk SSL, padahal situsnya membutuhkan SSL. Berkat SSL gratis dari Let’s Encrypt, proyek itu berhasil
  • Rasanya baru kemarin kita masih membayar sertifikat, dan yang lebih buruk, ada masa ketika kita menjalankan layanan tanpa sertifikat sama sekali
    Sulit dipercaya sudah 10 tahun berlalu

    • Sulit dipercaya masih ada orang-orang nyeleneh anti-TLS
  • Saya punya perasaan yang agak campur aduk tentang Let’s Encrypt
    Bagus karena kita bisa mendapatkan sertifikat TLS gratis tanpa bergantung pada perusahaan mencurigakan seperti StartSSL. Berkat itu, situs web apa pun bisa dengan mudah berpindah ke HTTPS, dan pengiriman data sensitif seperti login lewat koneksi yang tidak terenkripsi pada dasarnya hilang
    Di sisi lain, menurut saya ini memperkuat struktur model kepercayaan sertifikat TLS yang pada dasarnya rusak, di mana otoritas sertifikat mana pun bisa menerbitkan sertifikat untuk domain saya tanpa keterlibatan saya. Ada banyak mitigasi seperti CAA record atau transparansi sertifikat, tetapi itu bukan solusi 100%. Tanpa Let’s Encrypt, mungkin akan ada dorongan lebih besar untuk menerapkan mekanisme kepercayaan yang lebih baik seperti DNSSEC+DANE, yang membatasi penerbitan sertifikat pada pihak yang benar-benar berwenang menentukan kepemilikan domain
    Saya juga khawatir tentang kurangnya kompatibilitas mundur yang disengaja dalam proses memindahkan situs ke TLS. Ini bukan sekadar masalah satu kali menyalakan atau mematikan TLS, melainkan masalah protokol dan cipher suite yang terus dipensiunkan. Untuk hal yang memang harus aman seperti perbankan atau email, itu masuk akal, tetapi menurut saya tidak selalu perlu sampai untuk melihat informasi statis dan tidak penting seperti resep. Untuk masalah operator telekomunikasi yang menyisipkan iklan atau hal-hal aneh, saya rasa lebih baik diselesaikan lewat regulasi

    • Mengenai bagian bahwa tanpa Let’s Encrypt akan ada dorongan untuk menerapkan mekanisme kepercayaan yang lebih baik, saya justru berpikir Let’s Encrypt membuat masalah-masalah ini lebih terlihat dan kini membuat orang-orang yang berwenang benar-benar mengkhawatirkannya
      Kalau sertifikat terus berada dalam kondisi menyakitkan, mungkin saja sesuatu yang lebih baik daripada TLS akan muncul, tetapi kelihatannya tidak demikian. Karena masalah dasarnya masih sulit
  • Yang paling saya syukuri adalah protokol ACME
    Masih ingat bagaimana sertifikat diperpanjang sebelum Let’s Encrypt? Kunci privat sering bolak-balik lewat email sebagai lampiran ZIP. Itu lebih mirip teater keamanan, dan sejauh yang saya tahu merupakan praktik umum di banyak otoritas sertifikat. Terima kasih, Let’s Encrypt

    • Saya masih menangani perpanjangan GlobalSign secara manual
      Dalam proses pembuatan CSR, kami membuat kunci baru di server, menjalankannya di server itu sendiri agar kunci tidak pernah keluar dari penyimpanan internal server. CSR dikirim ke GlobalSign, lalu karena prosedur perusahaan besar harus melalui pihak ketiga, dan beberapa hari kemudian sertifikat diterima lalu diterapkan ke server
      Saya ingin memakai ACME dan menaruh kunci di ramdisk memori atau semacamnya, tetapi inilah sisi buruk bekerja di perusahaan yang kurang lincah daripada kapal tanker minyak
    • Ke mana perginya Certificate Signing Request? Tujuan awalnya adalah agar kunci privat tidak perlu saling dikirim
      Sebelumnya saya hanya sedikit terlibat dengan beberapa sertifikat TLS, tetapi setidaknya tempat-tempat yang saya alami mewajibkan metode CSR. Namun dalam praktiknya, kebiasaan mengerikan seperti ini mungkin lebih umum daripada yang saya tahu
    • Baik memakai Let’s Encrypt maupun tidak, yang dikirim lewat file ZIP seharusnya kunci publik, bukan kunci privat
    • Di sebagian konfigurasi saya, saya masih harus melakukan omong kosong seperti itu
      Load balancer di lingkungan cloud sering kali tidak mudah diintegrasikan dengan penyedia ACME eksternal seperti letsencrypt, dan penyedia internal meminta domain dipindahkan ke mereka, jadi tidak selalu memungkinkan. Bahkan tidak semua penyedia cloud punya fitur seperti ini, dan kebanyakan tampaknya memperlakukan ACME seperti fitur yang ditempel belakangan
      Dengan terraform, cron job, dan semacamnya, hal itu bisa diakali sampai batas tertentu lewat skrip, tetapi hasilnya berantakan. Mode gagalnya adalah situs berhenti ketika perpanjangan sertifikat gagal, dan berkat masa berlaku sertifikat yang menjadi sangat pendek, kejadian seperti itu sering muncul. Saya pernah mengalaminya sendiri
      Jadi beberapa hari lalu saya membayar pajak sertifikat wildcard. Saya membayar beberapa ratus dolar agar tidak perlu pusing menghindarinya, dan rasanya memang tidak enak, tetapi tidak sepadan menghabiskan berhari-hari hanya untuk menghemat biaya yang secara efektif kurang dari 2 jam waktu saya. Membuat CSR, menerima sertifikat, lalu menyalinnya ke load balancer terkait hanya pekerjaan 20 menit
    • Dari otoritas sertifikat seperti itu, berapa banyak yang sekarang masih tersisa di trust store semua orang?
  • Saya berharap hal seperti ini juga muncul di dunia sertifikat desktop
    Microsoft sekarang sudah masuk mode benar-benar gila dalam persyaratan mereka, dan para penjual sertifikat mereka menghasilkan lebih banyak uang daripada sebelumnya tanpa perlu mengangkat satu jari pun
    Yang lucu, semua keamanan, audit, dan verifikasi tanpa akhir itu masih bertumpu pada satu foto paspor yang dikirim lewat email

  • Peter Eckersley (1978–2022) secara anumerta dimasukkan ke Internet Hall of Fame berkat pekerjaannya mendirikan Let’s Encrypt
    Berkat Peter dan banyak kolaborator serta rekan kerjanya, internet menjadi tempat yang lebih baik

  • Kebetulan saya mendapat email dari calon pelanggan, sebuah lembaga pemerintah Belanda, yang meminta agar kami tidak memakai Letsencrypt
    Mereka lebih suka menjadi pihak yang membayar biaya sertifikat, tetapi saya tidak tahu alasannya. Sepertinya mereka tidak mempercayainya

  • Banyak orang tidak tahu bahwa sertifikat HTTPS tidak selalu mencegah jenis serangan tertentu seperti injeksi DNS
    Contoh kampanye serangan DNSPionage yang memperoleh sertifikat valid untuk digunakan dalam serangan bisa dilihat di <https://www.youtube.com/watch?v=exy5JwAU8qk>
    Singkatnya, penerbitan sertifikat HTTPS sudah terotomatisasi dan bergantung pada keamanan DNS, yang dapat dicapai dengan DNSSEC tetapi tidak diterapkan oleh kebanyakan orang

    • Secara teknis, ini adalah serangan terhadap otoritas sertifikat, yaitu melewati pemeriksaan otorisasi “apakah orang ini benar-benar berhak menerbitkan sertifikat untuk domain tersebut”
      Masalahnya, entri CAA pun tidak membantu di sini. Jika Anda bisa memalsukan record A, Anda juga bisa memalsukan record CAA. Saya tidak cukup memahami DNS untuk yakin apakah DNSSEC akan membantu dalam hal ini
      Serangan lain adalah IP hijacking. Dalam kasus ini, metode ACME umum seperti validasi HTTP bisa lolos, tetapi record CAA tidak bisa dilewati. Sekalipun seseorang memiliki alamat IP yang ditunjuk oleh record A atau AAAA saya, jika CAA saya tidak mencantumkan letsencrypt sebagai penerbit yang disetujui, mereka tidak bisa menerbitkan sertifikat lewat letsencrypt
  • Let’s Encrypt adalah pencapaian besar dan kini telah menjadi infrastruktur esensial
    Membangunnya di atas protokol terbuka agar tidak menjadi single point of failure adalah pilihan yang cerdas, dan memungkinkan idenya tetap hidup meskipun satu organisasi tertentu menghilang
    Semoga masih banyak peringatan hari jadi seperti ini di masa depan