Post Pic

Mengenal Self-Signed Certificate

Apa itu self-signed certificate? Lalu apa perbedaannya dengan sertifikat ssl berbayar? Apakah dengan menggunakan sertifikat ssl buatan sendiri, proses komunikasi data menjadi kurang aman?

Mungkin itu sebagian pertanyaan yang akan muncul terkait self-signed certificate. Di tulisan ini saya akan mencoba membahasnya, dan membandingkan dengan sertifikat ssl berbayar. Dengan harapan akan lebih mudah dimengerti oleh Anda.


Murah, tidak harus bayar

Saya coba tampilkan tabel harga sertifikat SSL, dari salah satu situs reseller sertifikat ssl. Anda bisa dengan mudah menemukan tabel serupa dengan mencari tabel perbandingan harga sertifikat ssl di google.

Tabel Harga Sertifikat SSL

Sertifikat SSL standar, rata-rata ada di harga lebih dari $100 dollar per tahun. Bahkan bisa mencapai ribuan dollar ketika menggunakan Sertifikat SSL Extended Validation (EV). Okelah misalnya Anda termasuk cukup menggunakan sertifikat ssl dengan level verifikasi terendah, seperti Geotrust RapidSSL atau Comodo PositiveSSL. Dibeberapa situs kedua sertifikat itu bisa Anda peroleh dengan harga $9 per tahun.

INGAT per tahun! Artinya tahun berikutnya Anda harus siap mengeluarkan budget yang sama.

Dengan self-signed certificate, Anda tidak perlu mengeluarkan biaya sepeserpun. Bikin sendiri, tanda tangani sendiri. Beres!

Mudah, tidak ada proses verifikasi

Verifikasi terendah dalam pembuatan Sertifikate SSL adalah dengan verifikasi domain. Jadi otoritas yang akan memverifikasi sertifikat Anda akan memastikan kalau Anda memang punya kontrol atas domain yang akan dibuatkan sertifikat sslnya.

Jika Anda membeli sertifikat SSL yang lebih tinggi lagi, dan tentunya lebih mahal pula, Anda harus siap dengan proses verifikasi yang lebih rumit lagi. Beberapa dokumen resmi akan diminta sebagai alat untuk memverifikasi identitas si pemilik domain.

Menggunakan self-signed certificate tidak perlu verifikasi. Tinggal bikin, gak ada verifikasi.

Amankah menggunakan Self-Signed Certificate?

Dari segi teknis, sama-sama aman. Jika sertifikat berbayar bisa digunakan untuk komunikasi ssl 256 bit, maka sertifikat yang dibuat dan ditandatangani sendiri juga bisa digunakan untuk keperluan itu. Yang membedakan hanya tingkat kepercayaan. Karena pada prinsipnya, sertifikat ssl hanyalah berperan sebagai kartu identitas.

Kapan harus menggunakan Sertifikat SSL komersial

Internet adalah sebuah ruang publik dimana tingkat anonimitasnya sangat tinggi. Banyak identitas tidak jelas bahkan identitas palsu di internet. Dan ini menjadi masalah ketika berhubungan dengan transaksi yang melibatkan uang di dunia online. Pengguna layanan transaksi online, tentunya ingin mendapatkan keyakinan kalau situs yang dia kunjungi memang memberikan identitas yang benar.

Dengan sertifikat SSL, pengguna bisa yakin kalau identitas yang ada di situs yang dia kunjungi memang benar atau valid. Pihak yang memberikan sertifikat (yang menandatangani sertifikat), menjamin data-data yang ada di sertifikat itu benar, berdasarkan proses verifikasi saat pembuatan sertifikat ssl tersebut.

Misal, ketika Anda mengakses situs https://ibank.klikbca.com, berdasarkan informasi yang Anda lihat di sertifikat ssl, Anda bisa yakin kalau yang menjalankan situs tersebut adalah PT. Bank Central Asia Tbk. Browser yang Anda gunakan juga tidak memunculkan peringatan, yang artinya sertifikat tersebut dikenali berdasarkan Root CA yang sebelumnya sudah disertakan di browser Anda.

Sebagai Catatan: Otoritas penyedia layanan sertifikat SSL, harus memenuhi sejumlah persyaratan agar sertifikat mereka bisa dimasukkan ke browser paling umum digunakan seperti Mozilla, Internet Explorer, Opera dll. Termasuk didalamnya membayar sejumlah biaya ke pengembang browser.

Bagaimana dengan self-signed certificate? Browser akan memperlakukan berbeda. Saat pertama kali Anda mengakses halaman https yang menggunakan self-signed certificate, browser akan menampilkan sejumlah peringatan. Peringatan karena yang menandatangani sertifikat tersebut, atau dalam kata lain yang menjamin data tersebut tidak dikenal.

Jadi kapan harus menggunakan Sertifikat SSL berbayar?

Ketika Anda berniat menjalankan situs yang melayani transaksi online untuk publik internet. Bentuk transaksi online ini bisa berupa toko online atau lainnya. Dengan memberikan Sertifikat SSL yang valid dikenali oleh browser, Anda bisa lebih meyakinkan calon pembeli untuk berbelanja di toko online Anda.

Kapan Self-Signed Certificate bisa ditolerir?

Kalau layanan yang diberikan hanya untuk kalangan terbatas saja. Misal untuk kalangan internal sebuah perusahaan saja, atau sebuah organisasi tertentu saja.