Certification Authority – Jika sebelumnya Anda sudah mengenal SSL (Secure Socket Layer) atau TLS (Transport Layer Security), berarti sudah saatnya Anda mengetahui tentang certification authority atau certificate authority.
Pasalnya, Certification Authority adalah lembaga yang berwenang menerbitkan sertifikat digital berupa file data jaminan keamanan yang dapat digunakan untuk meningkatkan keamanan website atau aplikasi yang diunduh dari internet.
Anda pasti bertanya-tanya untuk apa Certification Authority dibuat, Oleh karena itu, dalam artikel ini, kita akan membahas tentang Certification Authority secara mendetail.
Apa Itu Certification Authority?
Certification Authority atau Certificate Authority merupakan organisasi atau lembaga yang dipercaya untuk menerbitkan dan menandatangani sertifikat digital, serta melacak sertifikat digital yang telah kadaluarsa atau sudah dicabut.
Singkatnya, Certificate Authority berwenang untuk memverifikasi sertifikat digital suatu website untuk memastikan keamanan website untuk diakses pengunjung sekaligus memberikan kepercayaan kepada si pemilik website yang memiliki sertifikat tersebut.
Certificate Authority dibagi berdasarkan kedudukannya, antara lainnya:
- Root CA
Merupakan Certificate Authority tingkat tertinggi yang dapat menandatangani sertifikatnya sendiri atau memiliki wewenang self-signed certificate, biasanya disebut sebagai Trusted Root.
- Intermediate/Subordinate CA
Certificate Authority yang berada di tingkat yang lebih rendah dari Root CA yang dapat diembani tanggung jawab oleh Root CA untuk menandatangani sertifikat dengan atas nama Root CA.
Yang pasti, lembaga ini penting dalam bidang cyber security. Hal tersebut berdasarkan ancaman yang selalu mengancam keamanan internet, misalnya website palsu yang sengaja digunakan untuk mendapatkan data pribadi korban atau aplikasi malware yang dapat mengancam data-data perangkat.
Dengan adanya sertifikat dari Certificate Authority, website dan aplikasi yang memiliki sertifikat tersebut menandakan bahwa baik website maupun aplikasi telah dipercaya dan sudah menerapkan protokol keamanan jaringan yang sesuai.
Baca Juga : 100% Berhasil! Cara Buat Website dengan Joomla
Saat ini, Certificate Authority ternama dan sudah dipercaya untuk memverifikasi sertifikat digital antara lain:
- DigiCert
- Entrust Datacard
- GeoTrust
- RapidSSL
- Globalsign
- GoDaddy
- Let’s Encrypt
- Sectigo
Produk Apa Saja yang Diterbitkan Certificate Authority?
Certificate Authority menerbitkan tiga jenis sertifikat digital, yaitu:
- TLS/SSL
Produk sertifikat digital ini dikeluarkan oleh Certificate Authority SSL untuk memverifikasi identitas pemilik website sekaligus mengamankan proses perpindahan data ke server, dan TLS untuk mengamankan privasi data.
Baik SSL maupun TLS berfungsi untuk mengamankan informasi sensitif dari pencurian data yang dilakukan oleh peretas.
Dalam membuat TLS/SSL, terdapat tiga jenis verifikasi yang dilakukan Certificate Authority, yaitu:
- Domain Validation (DV)
Proses verifikasi tercepat karena hanya membutuhkan verifikasi kepemilikan domain lewat email, HTTP, atau DNS Record untuk memasang sertifikat digital ke dalam website.
- Organization Validation (OV)
Proses verifikasi kepemilikan domain yang disertai dokumen bisnis untuk menerbitkan sertifikat digital supaya dapat dipasang di website.
- Extended Validation (EV)
Proses verifikasi yang menjamin tingkat keamanan tertinggi karena memiliki Green Address Bar.
- Client Signing
Client signing berfungsi sebagai tanda pengenal yang dapat mengidentifikasi pengguna lain, misalnya saat pengirim email membubuhi emailnya dengan tanda tangan digital, kemudian si penerima akan memverifikasi tanda tangan digital tersebut.
- Code Signing
Sertifikat digital ini biasanya terdapat pada aplikasi-aplikasi, berfungsi untuk menjamin keaslian aplikasi atau file yang didownload dan memastikan file tersebut tidak berbahaya untuk penggunanya.
Developer yang menjual aplikasi buatannya melalui pihak ketiga sangat membutuhkan sertifikat digital ini untuk menjamin aplikasi yang mereka buat tidak rusak dan aman.
Bagaimana Caranya Certificate Authority Bekerja?
Certificate Authority bekerja dalam 5 tahap dalam menerbitkan sertifikat digital. Tahapan tersebut antara lain:
- Pelanggan (subscriber) membuat private key dan public key sendiri.
- Subscriber juga membuat CSR atau certificate signing request yang merupakan kode-kode yang berisi informasi yang berkaitan dengan website atau aplikasi.
- Certificate Authority memverifikasi data-data di dalam CSR.
- Setelah memverifikasikan data-data tersebut, Certificate Authority membuat dan menandatangani sertifikat digital untuk subscriber.
- Certificate Authority memberikan sertifikat digital yang telah ditandatangani kepada subscriber untuk kemudian diinstal ke website atau aplikasi sebagai bukti website atau aplikasi tersebut valid.
Seperti yang sudah kita ketahui melalui TLS, sertifikat digital tersebut juga dapat mengamankan koneksi antar website, pengunjung, dan browser yang digunakan si pengunjung dengan menguncinya dengan kunci kriptografi untuk mengenkripsi data selama proses transfer berlangsung, sehingga peretas tidak bisa masuk dan bahkan mencuri data tersebut.
Untuk Apa Certificate Authority?
Certificate Authority memiliki beberapa fungsi-fungsi yang berhubungan dengan penerbitan sertifikat digital, antara lain:
- Melakukan verifikasi identitas pemilik
Certificate Authority memiliki wewenang untuk memverifikasi identitas pemilik website atau developer aplikasi dengan cara yang berbeda, tergantung pada jenis sertifikat yang diinginkan subscriber.
- Menerbitkan sertifikat digital
Setelah identitas pemilik website atau developer aplikasi terverifikasi, maka Certificate Authority dapat membuat dan menerbitkan sertifikat digital yang dapat digunakan sebagai bukti valid.
Dari sertifikat digital tersebut, Certificate Authority menjamin hal-hal berikut:
- Privasi
Data dan private key milik subscriber disimpan dan dijaga agar data identitas subscriber tidak disalahgunakan.
- Akses yang mudah
Subscriber mendapatkan izin akses sehingga dapat menggunakan fitur-fitur yang disediakan Certificate Authority.
- Perlindungan terhadap data
Selain dijaga untuk menghindari penyalahgunaan, data subscriber juga dilindungi agar tidak menjadi sasaran kejahatan cyber yang dapat merugikan subscriber, seperti disadap, dicuri, atau digandakan.
Jika Certificate Authority lalai dalam melindungi data tersebut, maka mereka harus mengganti kerugian subscriber akibat tindak kejahatan tersebut.
- Informasi yang akurat
Semua informasi yang disampaikan kepada subscriber sesuai dengan informasi yang diberikan ke subscriber, salah satunya level sertifikat yang diinginkan subscriber.
- Memantau validitas sertifikat digital
Certificate Authority juga memantau validitas sertifikat yang sudah mereka terbitkan. Hal tersebut dikarenakan setiap sertifikat digital yang dikeluarkan memiliki masa berlaku yang berbeda-beda tergantung pada jenisnya.
Meskipun begitu, Certificate Authority juga berhak untuk mencabut sertifikat digital yang mereka keluarkan sebelum masa berlakunya habis, dengan catatan terdapat pelanggaran subscriber terbukti memberikan dokumen informasi yang salah, private key hilang, penghentian operasi, dan lain sebagainya.
Kesimpulan
Berdasarkan artikel ini, Anda sudah mengetahui Certificate Authority secara mendetail. Setiap pemilik website atau developer aplikasi wajib memiliki sertifikat digital yang dikeluarkan Certificate Authority karena dengan adanya sertifikat tersebut berarti menjamin keamanan dan kenyamanan kegiatan online yang berhubungan dengan website atau aplikasi tersebut.