Masa berlaku sertifikat TLS resmi dipersingkat menjadi 47 hari

 (digicert.com)
16 poin oleh GN⁺ 2025-04-17 | 1 komentar | Bagikan ke WhatsApp
  • Pemendekan masa berlaku sertifikat TLS: CA/Browser Forum telah memutuskan untuk mengurangi masa berlaku sertifikat TLS. Hingga 2029, masa berlaku sertifikat akan dipersingkat menjadi 47 hari
  • Pentingnya otomatisasi: Karena masa berlaku sertifikat dipersingkat, otomatisasi menjadi hal yang wajib. Apple menegaskan bahwa otomatisasi sangat penting untuk manajemen siklus hidup sertifikat
  • Masalah keandalan informasi sertifikat: Keandalan informasi sertifikat menurun seiring waktu, sehingga verifikasi ulang yang lebih sering diperlukan
  • Masalah sistem pencabutan sertifikat: Sistem pencabutan sertifikat yang menggunakan CRL dan OCSP tidak dapat diandalkan, dan masa berlaku yang lebih pendek dapat membantu meredakan masalah ini
  • Biaya dan solusi otomatisasi: Biaya penggantian sertifikat didasarkan pada langganan tahunan, dan melalui otomatisasi banyak pihak secara sukarela memilih siklus penggantian yang lebih cepat

Pemendekan masa berlaku sertifikat TLS

  • CA/Browser Forum secara resmi telah memutuskan untuk mengurangi masa berlaku sertifikat TLS
  • Mulai Maret 2026, masa berlaku sertifikat akan menjadi 200 hari, pada 2027 menjadi 100 hari, dan pada 2029 akan dipersingkat menjadi 47 hari
  • Masa pakai ulang informasi validasi domain dan alamat IP juga akan dipersingkat menjadi 10 hari pada 2029

Arti 47 hari

  • 47 hari adalah gabungan dari 1 bulan (31 hari), setengah dari 30 hari (15 hari), dan tambahan kelonggaran 1 hari
  • Apple menekankan bahwa otomatisasi sangat penting untuk manajemen siklus hidup sertifikat

Masalah keandalan informasi sertifikat

  • Keandalan informasi sertifikat menurun seiring waktu, sehingga verifikasi ulang yang lebih sering diperlukan
  • Sistem pencabutan sertifikat tidak dapat diandalkan, dan masa berlaku yang lebih pendek dapat membantu meredakan hal ini

Kebutuhan akan otomatisasi

  • Karena masa berlaku sertifikat dipersingkat, otomatisasi menjadi wajib
  • DigiCert menyediakan berbagai solusi otomatisasi melalui Trust Lifecycle Manager dan CertCentral

Informasi tambahan dan langganan blog

  • Informasi terbaru tentang manajemen sertifikat, otomatisasi, dan TLS/SSL dapat dilihat di blog DigiCert
  • Untuk informasi lebih rinci tentang solusi otomatisasi, Anda dapat menghubungi DigiCert

Bacaan terkait

1 komentar

 
GN⁺ 2025-04-17
Opini Hacker News

  • "Penasaran apa sebenarnya tujuan akhirnya di sini. Setuju dengan pendapat yang menentang. Kenapa tidak dibuat 30 detik saja?"

    • "Kalau kita sudah melewati titik di mana semuanya harus diotomatisasi sampai penggunaan TLS nyaris tidak lagi memungkinkan, saya jadi bertanya-tanya kenapa masih perlu memberi masa berlaku lebih dari 48 jam"
    • "Ini terasa lebih seperti misi ideologis daripada sesuatu yang praktis. Saya tidak tahu apakah ada keuntungan finansial/kekuasaan dari memaksa semua infrastruktur berubah setiap bulan"

  • "Saat bekerja dengan perusahaan besar, saya melihat bahwa seiring waktu kedaluwarsa makin dipersingkat, kebanyakan akhirnya memakai sertifikat yang ditandatangani secara internal"

    • "Sertifikat publik dipakai untuk perangkat edge/load balancer, tetapi layanan internal memakai sertifikat yang ditandatangani CA internal dengan masa berlaku panjang"
    • "Itu karena banyak aplikasi yang repot jika harus memakai sertifikat"

  • "Seperti yang dikatakan di thread lain, ini akan menghilangkan kemungkinan membuat CA sendiri untuk subdomain sendiri"

    • "Hanya CA besar yang tertanam di browser yang akan bisa memiliki sertifikat CA sendiri dengan masa berlaku yang mereka inginkan"
    • "Dari sisi keamanan, ini pedang bermata dua"
    • "Kalau semua orang terbiasa dengan sertifikat yang terus berubah, dan certificate pinning hilang, akan lebih sulit menyadari saat Tiongkok atau perusahaan tertentu memberikan sertifikat palsu"
    • "Alih-alih sistem tertutup, semua mesin di seluruh dunia harus hampir permanen terhubung ke server sertifikat acak demi pembaruan sistem"
    • "Kalau server Digicert atau Letsencrypt, atau 'klien pembaruan sertifikat', diretas atau mengalami masalah keamanan, sebagian besar server di dunia bisa disusupi dalam waktu yang sangat singkat"

  • "Saya tertawa melihat penjelasan berikut di artikelnya"

    • "47 hari mungkin terlihat seperti angka acak, tetapi ini rangkaian yang sederhana"
    • "47 hari = maksimum satu bulan (31 hari) + 1/2 dari 30 hari (15 hari) + 1 hari cadangan"
    • "Jadi 47 bukan angka acak, tetapi 1 bulan, 1/2 bulan, dan 1 hari juga bukan angka acak"

  • "Sebagai otoritas sertifikat, salah satu pertanyaan yang paling sering diajukan pelanggan adalah apakah ada biaya tambahan untuk mengganti sertifikat lebih sering"

    • "Jawabannya tidak. Biaya didasarkan pada langganan tahunan"
    • "Digicert, berhentilah sebentar. Harga memang didasarkan pada langganan tahunan. Biaya CA sebenarnya naik sedikit sekali, tetapi pada dasarnya sudah mendekati nol"
    • "Menjalankan CA adalah salah satu bisnis termudah di dunia"

  • "Kami mengatur monitoring untuk mengirim peringatan tidak penting 'bisa menunggu sampai Senin' saat masa berlaku sertifikat tinggal 14 hari atau kurang, dan peringatan 'jangan ganggu' saat tinggal 48 jam sebelum kedaluwarsa"

    • "Beberapa tahun lalu cert-manager masuk ke keadaan yang aneh, jadi lain kali saya ingin mengetahuinya lebih awal"

  • "Saya berharap enkripsi dan identitas tidak terlalu erat terikat dalam sertifikat"

    • "Saat menerbitkan sertifikat, kita selalu peduli pada enkripsi, tetapi kadang tidak peduli pada identitas"
    • "Ketika hanya peduli pada enkripsi, kita tetap harus menanggung beban tambahan karena harus peduli pada identitas"

  • "Saya penasaran apakah semua Chromecast akan berhenti berfungsi lagi jika ini diterapkan"

    • "Melihat respons Google saat gangguan Chromecast awal tahun ini, Chromecast tampaknya dijalankan dengan personel minimum dan tidak punya sumber daya untuk mengotomatisasi pembaruan sertifikat"

  • "Dengan otomatisasi dan sertifikat jangka pendek, otoritas sertifikat jadi mirip OpenID Provider"

    • "Bagian penting dari keamanan akan berfokus pada cara otoritas sertifikat memverifikasi kepemilikan domain"
    • "Mungkin klien bisa melakukan verifikasi langsung tanpa bergantung pada sertifikat"
    • "Misalnya, saat terhubung ke server, klien mengirim dua nilai unik, lalu server harus membuat record DNS"
    • "Ini adalah autentikasi melalui DNS. Sistem DNS perlu dipercepat"

  • "Ini akan merusak ketergantungan pada certificate pinning di dua tempat yang menarik"

    • "Aplikasi mobile"
    • "API perusahaan. Banyak perusahaan melakukan pinning sertifikat, lalu mengeluh saat kami melakukan rotasi sertifikat"
    • "Masa berlaku 47 hari akan memaksa mereka mengotomatisasi rotasi pinning"

  • "Asumsinya di sini adalah bahwa private key lebih mudah dikompromikan daripada rahasia/mekanisme yang digunakan untuk menerbitkan sertifikat"

    • "Saya tidak yakin soal bagian itu"