Hai semuanya, apa kabar? Kali ini saya mau nulis lagi yang berkaitan dengan SSL. Yaitu self-signed SSL.
Apa Itu Self-Signed SSL
Self-signed SSL adalah sertifikat SSL yang dibuat dan ditandatangani/validasi oleh server itu sendiri. Jadi yang melakukan validasi bukalah lembaga Certificate Authority (CA) resmi seperti Sectigo, DigiCert, atau CA lainnya.
Secara teknis, self-signed SSL juga tetap mengaktifkan protokol HTTPS dan mengenkripsi data trafik (koneksi tidak dikirim dalam bentuk plaintext).
Penggunaan self-signed SSL digunakan karena gratis dan pembuatannya cepat karena tidak memerlukan tahapan validasi dari CA/pihak kketiga. Biasanya self-signed SSL digunakan untuk internal server ataupun lab environment.
Apa Saja Risikonya?
Masalah penggunaan self-signed SSL biasanya timbul saat SSL jenis ini dipakai di production atau sistem/web-nya diakses secara publik.
Masalahnya terletak pada trust/kepercayaan. Self-signed SSL tidak diverifikasi oleh lembaga tepercaya (CA) dan tidak memiliki trust chain. Sehingga web browser dan sistem keamanan pun dapat “ragu” terhadap SSL yang digunakan. Tidak tahu “siapa yang menerbitkan sertifikat ini”.
Akibat dari hal ini adalah, pesan peringatan dapat muncul pada web browser, dan skor keamanan (apabila dicek atau diaudit oleh sistem keamanan).
Tidak Ada Mekanisme Revocation
Self-signed SSL tidak memiliki CRL atau OCSP.
- CRL: Certificate Revocation List. Yaitu daftar sertifikat yang sudah dicabut oleh CA. Daftar ini dapat diunduh. oleh web browser atau sistem. Apabila sertifikat yang digunakan ada pada daftar tersebut, maka akan ditolak/not secure.
- OCSP: Online Certificate Status Protocol. Pengecekan daftar status dari SSL dilakukan secaara online oleh web browser. Ibarat OCSP itu seperti tanya langsung ke CA untuk tanya status sertifikat.
Tanpa kedua hal ini, sertifikat yang sudah obsolete/compromised masih bisa dipakai, web browser tidak dapat memastikan status dari sertifikat, dan sistem/situs web yang menggunakan self-signed SSL dapat ditandai tidak aman/risky oleh security scanner.
Lebih Rentan Serangan Man-In-The-Middle (MITM)
Karena tidak ada validasi CA/pihak ketiga, sulit untuk membedakan mana server asli dan mana server palsu/tiruan . Koneksinya tetap HTTPS, tapi identitas server *belum tentu terjamin.
Tidak Lolos Audit
Banyak standar keamanan yang secara tegas menolak self-signed SSL dan menganggapnya sebagai medium to high risk. Belum tentu karena enkripsi yang digunakan lemah, melainkan karena tidak dapat dipercaya secara global.
False Sense of Security
Koneksi HTTPS yang aktif bisa saja memberikan “rasa aman” namun semu karena validasinya tidak diakui.
Penutup
Apakah self-signed SSL sama sekali tidak boleh digunakan? Tidak juga. Self-signed SSL bisa kita gunakan pada environment khusus seperti lab pribadi. Masalah akan muncul saat self-signed SSL digunakan di luar konteks atau penempatannya.
Di dunia nyata (apalagi yang bersentuhan dengan audit dan pengguna publik) yang dibutuhkan bukan cuma enkripsi, tapi juga kepercayaan. Dan di situlah peran SSL dari CA resmi jadi penting.
Kadang bukan soal “bisa atau tidak”, tapi soal “apakah ini keputusan yang tepat untuk lingkungan produksi?”.
Sekian dulu tulisan saya kali ini. Sampai jumpa. Bye.