Sebaiknya jangan gunakan WoSign dan StartCom (sementara ini)

Saya adalah fans dari WoSign yang menyediakan sertifikat SSL gratis tanpa ribet dan nama StartSSL (atau StartCom) ikut dalam informasi kali ini karena sedang ada masalah pada keduanya. Kalau anda belum tahu bahwa kedua penyedia sertifikat SSL gratis tersebut ternyata dimiliki oleh perusahaan Cina (Qihoo360), dimana StartCom baru diakuisi tahun kemarin secara diam – diam. Dan hal ini adalah awal mula dari masalahnya.

Disini saya tuliskan saja kesimpulan yang saya pahami (sumbernya saya letakkan di akhir artikel):

  1. Memiliki 2 suara untuk voting dalam organisasi CA (Certificate Authority).Ini disebabkan WoSign dan StartCom tidak mempublikasikan bahwa mereka dimiliki oleh perusahaan yang sama.
  2. Hasil audit tidak akurat.
  3. Lambat dalam menangani masalah keamanan.
  4. Secara sengaja memanipulasi masa berlaku sertifikat SSL untuk menghindari hukuman.
  5. Menciptakan sertifikat SSL kepada pihak yang tidak memiliki ijin. Misal google.co.id bisa anda minta, padahal jelas anda tidak ada hak.

Inti hukuman yang sedang dirancang adalah sebagai berikut:

  1. Seluruh sertifikat SSL yang diciptakan WoSign dan StartCom dalam masa waktu 1 tahun (belum ditentukan kapan diterapkannya) akan dianggap tidak aman. Ini termasuk renew. Ya, halaman error akan muncul dalam browser kalau mengunjunginya. Ini fatal sekali efeknya.
  2. Tapi sertifikat SSL yang sudah aktif sebelum masa pinalti dilakukan akan tetap dapat berfungsi normal. Jadi hanya berlaku pada yang baru saja.
  3. Yang mengawali adalah Mozilla Firefox dan kemungkinan tidak lama Google Chrome juga, browser – browser lain akan menyusul ikut yang besar tampaknya.

Apabila anda ingin membaca detail masalahnya bisa membaca dari sini: https://wiki.mozilla.org/CA:WoSign_Issues dan hukuman yang akan dieksekusi oleh Mozilla/Google bisa dilihat draftnya disini: https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

Saya sarankan agar menggunakan Let’s Encrypt saja apabila ingin menggunakan HTTPS gratis untuk sementara waktu ini, atau malah CloudFlare saja supaya tidak pusing. 😀

4 Comments

    1. Ternyata Apple malah gerak cepat mas, sudah resmi menyatakan kalau sertifikat SSL dari WoSign dan StartSSL dimasukkan dalam daftar tidak dipercaya pada Safari (mungkin produk lainnya juga).

      1. Kalau rekomendasi mas. Ssl apa ya yang paling enak.
        Maksud saya berbayar
        Soalnya ada ssl murah di qw**** 🙂

Tinggalkan Balasan ke Chandra Batalkan balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *