Defaults.Exposed › Perbaikan › Kesehatan sertifikat TLS

Cara memperbaiki Kesehatan sertifikat TLS

Sertifikat SSL/TLS Anda adalah kartu identitas digital yang membuktikan pengunjung benar-benar berbicara dengan website Anda — bukan penipu — dan mengaktifkan gembok di browser. Pemeriksaan ini melihat apakah sertifikat itu valid dan dipercaya, tidak akan segera kedaluwarsa, dan dibangun dengan kriptografi yang kuat dan modern.

Intinya bagi bisnis Anda: Sertifikat yang rusak atau kedaluwarsa menggantikan website Anda dengan peringatan merah layar penuh 'Koneksi Anda tidak privat' di setiap browser. Sebagian besar pengunjung langsung pergi dan tidak kembali — penjualan online berhenti, pendaftaran berhenti, dan koneksi yang seharusnya privat bisa diam-diam dicegat.

Kerugian yang dapat ditimbulkan

• Sertifikat Anda diam-diam kedaluwarsa di akhir pekan; Senin pagi setiap pengunjung menghadapi peringatan keamanan selayar penuh, checkout dan formulir kontak Anda mati, dan Anda kehilangan penjualan setiap jam yang dibutuhkan untuk menyadarinya dan memperbaruinya.
• Pelanggan yang membayar melalui WiFi kafe atau hotel mendapat peringatan bahwa sertifikat Anda tidak cocok dengan domain Anda — mereka mengasumsikan website Anda palsu atau diretas, membatalkan pembelian, dan memberitahu orang lain bahwa website itu 'tampak mencurigakan'.
• Tim IT klien besar menjalankan pemindaian keamanan pra-kontrak, melihat sertifikat yang ditandatangani sendiri atau tidak dipercaya, dan menandai Anda sebagai risiko — kesepakatan terhenti atas sesuatu yang tidak memerlukan biaya untuk diperbaiki.
• Sertifikat Anda menggunakan metode penandatanganan yang sudah usang atau kunci yang lemah; browser modern mulai menampilkan peringatan, dan audit keamanan menilai Anda lebih rendah untuk kriptografi yang telah lama tidak direkomendasikan.
• Anda menerima pembayaran kartu dan penyedia pembayaran Anda mengaudit ulang Anda; kunci yang lemah atau sertifikat yang kedaluwarsa melanggar aturan keamanan pembayaran dan checkout online Anda dibekukan sampai diperbaiki.

Mengapa ini penting. Sertifikat adalah bagian paling terlihat dari keamanan website Anda — ketika sehat ia tidak terlihat, dan ketika rusak ia menjatuhkan seluruh website Anda dengan peringatan menakutkan yang mendorong pelanggan langsung ke kompetitor. Kedaluwarsa sertifikat adalah penyebab nomor satu gangguan website yang tidak terduga, dan sepenuhnya bisa dicegah. Mendapatkan sertifikat yang valid gratis, dan menjaganya tetap sehat sebagian besar hanya masalah membiarkannya memperbarui secara otomatis.

Penjelasan dalam bahasa sederhana

Ketika seseorang mengunjungi website Anda, dua hal harus terjadi agar mereka merasa aman mengetikkan kata sandi atau nomor kartu. Pertama, koneksi harus dienkripsi agar orang asing tidak bisa membacanya. Kedua — dan inilah bagian yang sering dilupakan orang — browser pengunjung harus yakin bahwa yang ada di ujung sana benar-benar website Anda, dan bukan penipu yang telah membuat tiruan yang meyakinkan. Hal yang melakukan kedua pekerjaan itu adalah sertifikat TLS Anda (sering disebut “sertifikat SSL”).

Anggap saja sebagai kartu identitas anti-pemalsuan untuk domain Anda. Otoritas yang diakui menerbitkannya, distempel dengan nama domain Anda dan tanggal kedaluwarsa, dan membawa kunci kriptografis yang mengacak koneksi. Ketika semuanya sesuai, browser menampilkan gembok dan website Anda dimuat secara normal. Ketika ada yang salah dengan kartu identitas, browser melakukan kebalikan dari meyakinkan pengunjung Anda — ia memunculkan peringatan layar penuh yang mengatakan, intinya, “website ini mungkin tidak aman.”

Pemeriksaan ini melihat kesehatan kartu identitas tersebut dari empat hal yang masing-masing secara independen bisa merusaknya:

• Apakah valid dan dipercaya? — diterbitkan oleh otoritas yang diakui, cocok dengan domain Anda yang tepat, tidak self-signed, dan tidak kedaluwarsa.
• Apakah akan segera kedaluwarsa? — karena sertifikat yang berakhir mematikan seluruh website Anda.
• Apakah ditandatangani dengan metode yang kuat? — algoritma penandatanganan lama bisa dipalsukan.
• Apakah kuncinya cukup kuat? — kunci yang lemah secara prinsip bisa dipecahkan.

Kabar baiknya sejak awal: mendapatkan sertifikat yang sehat adalah gratis, dan menjaganya tetap sehat sebagian besar tentang membiarkannya memperbarui sendiri secara otomatis sehingga tidak ada manusia yang harus mengingat.

Dampak finansial yang perlu diketahui

• Gangguan akhir pekan. Sertifikat diam-diam mencapai tanggal kedaluwarsanya di akhir Jumat. Pembaruan yang seharusnya berjalan tidak berjalan (server dipindahkan, skrip rusak, tidak ada yang memperhatikan). Sabtu pagi setiap pengunjung — dan setiap crawler Google — melihat halaman peringatan merah layar penuh alih-alih halaman utama Anda. Toko Anda tutup dan Anda bahkan tidak mengetahuinya. Perbaikan teknisnya butuh menit; kehilangan akhir pekan penjualan dan pelanggan yang memutuskan Anda sudah “tutup usaha” tidak kembali.

• Checkout yang ditinggalkan. Pelanggan membeli dari ponsel mereka di WiFi hotel. Sertifikat Anda tidak sepenuhnya cocok dengan domain yang mereka ketik (misalnya mencakup shop.yourbiz.com tapi bukan yourbiz.com telanjang yang mereka gunakan). Browser memperingatkan mereka bahwa website itu “mungkin menyamar” sebagai milik Anda. Bagi pembeli non-teknis itu terbaca sebagai penipuan — mereka menutup tab, dan Anda tidak pernah tahu penjualan itu ada.

• Kontrak yang terhenti. Tim keamanan calon pelanggan yang lebih besar menjalankan pemindaian rutin sebelum menandatangani. Hasilnya menampilkan sertifikat self-signed atau tidak dipercaya pada salah satu subdomain Anda. Bahkan jika segalanya baik-baik saja, tanda bahaya tunggal itu mengubah persetujuan cepat menjadi proses bolak-balik yang menunda kesepakatan — atas masalah yang tidak memerlukan biaya untuk diperbaiki.

• Peringatan bertahap. Sertifikat Anda secara teknis valid tapi ditandatangani dengan SHA-1, metode lama yang browser-browser sedang secara bertahap menghapus. Satu pembaruan browser kemudian, sebagian pengunjung Anda mulai melihat peringatan yang tidak bisa Anda reproduksi di mesin Anda sendiri yang terbaru. Tiket dukungan mengalir masuk mengatakan website “tampak rusak” dan Anda tidak bisa mencari tahu mengapa.

• Kegagalan kepatuhan. Anda menerima pembayaran kartu. Selama audit ulang, pemeriksaan penyedia Anda menandai kunci yang lemah atau sertifikat yang kedaluwarsa. Aturan keamanan kartu memerlukan enkripsi yang kuat dan terkini — jadi pembayaran online Anda ditangguhkan sampai Anda menerbitkan ulang, membekukan pendapatan di saat yang paling buruk.

Penjelasan empat bagian teknis

Sertifikat bisa tidak sehat dalam empat cara yang berbeda, dan halaman ini mencakup semuanya. Masing-masing adalah pemeriksaan terpisah di balik layar, tapi bagi Anda semuanya “apakah sertifikat saya OK?“

1. Valid dan dipercaya

Ini yang terpenting — dan satu-satunya bagian kesehatan sertifikat yang merupakan pemeriksaan kritis berbobot tertinggi. Sertifikat “valid dan dipercaya” hanya ketika semua ini benar:

• Diterbitkan oleh otoritas sertifikat yang diakui yang sudah dipercaya browser (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, dan sebagainya).
• Cocok dengan domain yang tepat yang digunakan pengunjung — termasuk subdomain.
• Tidak self-signed — yaitu bukan yang Anda keluarkan sendiri.
• Saat ini dalam jendela tanggalnya — tidak kedaluwarsa, dan tidak (aneh tapi terjadi) tertanggal mulai di masa depan.
• Rantai kepercayaannya utuh — otoritas yang menandatanganinya sendiri dipercaya, sampai ke atas.

Jika salah satu dari ini gagal, browser menampilkan halaman “Koneksi Anda tidak privat” yang ditakuti, dan pemeriksaan ini gagal total. Baik terlihat seperti: sertifikat dari otoritas yang diakui, mencakup setiap domain dan subdomain yang benar-benar digunakan pelanggan, dengan nyaman dalam tanggalnya.

2. Tidak akan segera kedaluwarsa

Setiap sertifikat memiliki tanggal akhir yang keras. Yang gratis biasanya bertahan 90 hari; yang berbayar sering satu tahun. Melewati tanggal itu, kepercayaan menguap seketika — tidak ada masa tenggang. Pemeriksaan ini mengukur berapa hari tersisa dan bagaimana interaksinya dengan siapa yang menerbitkannya:

• Jika sudah kedaluwarsa, atau kedaluwarsa dalam kurang dari 7 hari, itu dianggap kritis — tanda pembaruan telah gagal.
• Jika kedaluwarsa dalam 30 hari dan tidak dikelola otomatis, itu adalah peringatan untuk memperbarui sekarang.
• Jika dari penyedia pembaruan otomatis (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL dan sejenisnya) dengan setidaknya seminggu tersisa, ini lulus — karena diharapkan memperbarui sendiri sebelum tenggat.
• Ruang yang cukup (90+ hari, atau dikelola otomatis) adalah lulus bersih.

Baik terlihat seperti: sertifikat dikelola otomatis yang memperbarui sendiri tanpa ada yang menyentuhnya. Cara paling andal untuk tidak pernah memiliki gangguan kedaluwarsa adalah membuat mesin, bukan manusia, yang bertanggung jawab untuk pembaruan.

3. Algoritma tanda tangan yang kuat

Setiap sertifikat “ditandatangani” menggunakan algoritma kriptografis yang memungkinkan browser mendeteksi pemalsuan. Algoritma lama — MD5 dan SHA-1 — telah terbukti bisa dipalsukan. Pemeriksaan ini lulus ketika sertifikat menggunakan tanda tangan yang kuat dan modern: SHA-256 atau lebih kuat (SHA-384, SHA-512), ECDSA modern, atau Ed25519/Ed448. MD5 dan SHA-1 gagal. Baik terlihat seperti: SHA-256 atau lebih baik — yang merupakan default pada setiap sertifikat gratis dan modern.

4. Kunci yang kuat

Sertifikat membawa kunci kriptografis yang melakukan enkripsi aktual. Jika kunci itu terlalu pendek, daya komputasi modern bisa — dengan sumber daya yang cukup — memecahkannya. Minimum yang diterima adalah RSA 2048-bit atau elliptic-curve (EC) 256-bit. Baik terlihat seperti: RSA 2048-bit (atau 4096-bit), atau kunci EC 256-bit seperti P-256 — sekali lagi, default pada sertifikat gratis modern.

Cara memperbaikinya (gratis, ~15 menit)

Berikan bagian ini kepada siapa pun yang menjalankan website atau hosting Anda — perbaikannya gratis. Sertifikat yang valid, kuat, dan diperbarui otomatis tidak dikenakan biaya melalui Let’s Encrypt atau host modern mana pun. Kami hanya mengenakan biaya untuk memantau agar tetap sehat dari waktu ke waktu, tidak untuk memperbaikinya.

Langkah 1 — Dapatkan (atau ganti) sertifikat dengan yang gratis dan tepercaya. Langkah tunggal ini memperbaiki validitas, tanda tangan, dan kekuatan kunci sekaligus, karena sertifikat gratis modern menggunakan SHA-256 dan kunci yang kuat secara default.

• Cloudflare: di SSL/TLS → Overview, atur mode ke Full (Strict). Cloudflare menerbitkan dan memperbarui otomatis sertifikat edge yang tepercaya untuk Anda; pastikan server asal Anda juga memiliki sertifikat yang valid agar “Strict” berfungsi.
• Google Workspace / Microsoft 365 hosting atau host cPanel apa pun: cari SSL/TLS Status dan jalankan AutoSSL. Ini menyediakan dan memperbarui sertifikat gratis secara otomatis.
• Website builder (Squarespace, Wix, Shopify, host WordPress modern): SSL biasanya aktif secara default — konfirmasi diaktifkan di pengaturan domain/keamanan Anda, dan bahwa mencakup yourbiz.com maupun www.yourbiz.com.
• Server Linux sendiri (Nginx/Apache): instal Let’s Encrypt dengan Certbot — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (atau --apache). Untuk kunci EC modern, tambahkan --key-type ecdsa. Daftarkan setiap nama host yang Anda layani dengan -d agar sertifikat cocok dengan semuanya.

Langkah 2 — Buat pembaruan otomatis agar tidak pernah kedaluwarsa lagi. Ini adalah langkah yang mencegah skenario gangguan akhir pekan.

• Pada server Let’s Encrypt, konfirmasi timer pembaruan aktif dan uji: sudo certbot renew --dry-run. Certbot biasanya menginstal timer otomatis; jika tidak, tambahkan cron job harian: 0 3 * * * certbot renew --quiet.
• Pada Cloudflare, cPanel AutoSSL, dan host yang dikelola/website builder, pembaruan ditangani untuk Anda — tidak ada yang perlu dijadwalkan.

Langkah 3 — Pastikan mencakup nama yang tepat. Penyebab “valid tapi peringatan” yang paling umum adalah ketidakcocokan nama. Sertifikat harus mencakup setiap nama host yang benar-benar digunakan pelanggan — domain telanjang, www, dan subdomain apa pun seperti shop. atau app.. Saat menghasilkan sertifikat, sertakan masing-masing (wildcard seperti *.yourbiz.com mencakup semua subdomain sekaligus).

Langkah 4 — Jika hanya kekuatan tanda tangan atau kunci yang ditandai, cukup terbitkan ulang. Anda tidak perlu membeli apa pun: hasilkan sertifikat baru (Langkah 1) dan yang baru akan menggunakan SHA-256 dan kunci yang kuat secara otomatis.

Langkah 5 — Verifikasi, lalu periksa ulang di sini. Konfirmasi tanggal, penerbit, dan kunci dengan perintah cepat — echo | openssl s_client -servername yourbiz.com -connect yourbiz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — lalu jalankan ulang pemeriksaan ini.

Kesalahan umum

• Menganggap “kami sudah instal SSL sekali” sebagai selesai. Sertifikat kedaluwarsa pada sebuah jam. Tanpa pembaruan otomatis, pertanyaannya bukan jika ia berakhir tapi kapan — biasanya di saat yang paling tidak nyaman.
• Mencakup www tapi bukan domain telanjang (atau sebaliknya). Keduanya harus ada di sertifikat, atau salah satunya menampilkan peringatan ketidakcocokan nama.
• Membiarkan sertifikat self-signed di subdomain “uji” yang sebenarnya publik. Ini mengenkripsi, jadi terasa aman — tapi browser (dan pemindai keamanan) memperlakukannya sebagai tidak dipercaya, dan ini adalah tanda merah audit yang klasik.
• Mengasumsikan berbayar berarti lebih aman. Sertifikat Let’s Encrypt gratis sama persis kepercayaan dan enkripsinya dengan yang mahal. Membayar lebih tidak membuat gembok lebih kuat.
• Memperbarui sertifikat tapi lupa memuat ulang server. Sertifikat baru yang ada di disk tidak melakukan apa pun sampai server web dimuat ulang untuk mengambilnya — penyebab yang mengejutkan umum dari “saya memperbaruinya tapi masih menampilkan kedaluwarsa.”
• Pembaruan otomatis yang diam-diam gagal. Pekerjaan pembaruan bisa rusak (file yang dipindahkan, perubahan DNS, port yang diblokir) dan terus “berhasil” dengan diam-diam. Memantau tanggal kedaluwarsa — bukan hanya pekerjaan pembaruan — adalah yang benar-benar menangkap ini sebelum menggigit.

FAQ