Otoritas Sertifikat adalah salah satu landasan terpenting untuk keamanan Internet. Otoritas sertifikat adalah seseorang yang dipercaya oleh semua orang, pada awalnya, ketika tidak ada yang mempercayai orang lain. Maka tugas otoritas sertifikat ini (a.k.a CA) untuk memastikan bahwa kepercayaan terjalin antara server dan klien sebelum mereka menjalin komunikasi melalui Internet.CA penting tidak hanya untuk HTTPS yang digunakan oleh browser dan aplikasi web, tetapi juga untuk email terenkripsi, pembaruan perangkat lunak yang ditandatangani, VPN, dan banyak lagi. Kami akan mengambil contoh prototipe HTTPS dan belajar tentang CA, dalam konteks khusus ini. Meskipun Anda dapat memperkirakan hasilnya ke rangkaian perangkat lunak lainnya.

Masalah dengan HTTP dan teks biasa

Internet adalah saluran komunikasi yang tidak tepercaya. Saat Anda mengirim atau menerima informasi dari  situs HTTP lama http://www.contoh.com di browser Anda, banyak hal dapat terjadi di tengah jalan ke paket Anda.

1. Aktor yang buruk dapat mencegat komunikasi, menyalin data untuk dirinya sendiri, sebelum mengirim ulang lagi di saluran ke arah Anda atau server yang Anda ajak bicara. Tanpa sepengetahuan salah satu pihak, informasi tersebut dikompromikan. Kita perlu memastikan bahwa komunikasi itu pribadi.
2. Aktor yang buruk dapat mengubah informasi saat sedang dikirim melalui saluran. Bob mungkin telah mengirim pesan "x" tapi Alice akan menerima "y" dari Bob, karena aktor jahat mencegat pesan, dan memodifikasinya. Dengan kata lain, integritas pesan dikompromikan.
3. Terakhir, dan yang paling penting, kita perlu memastikan bahwa orang yang kita ajak bicara memang seperti yang mereka katakan. Kembali ke contoh.com domain. Bagaimana kami dapat memastikan bahwa server yang membalas kami adalah pemegang yang sah dari www.contoh.com? Pada titik mana pun di jaringan Anda, Anda dapat salah arah ke server lain. DNS di suatu tempat bertanggung jawab untuk mengonversi nama domain, seperti www.contoh.com, menjadi alamat IP di internet publik. Tetapi browser Anda tidak memiliki cara untuk memverifikasi bahwa alamat IP terjemahan DNS.

Dua masalah pertama dapat diselesaikan dengan mengenkripsi pesan sebelum dikirim melalui Internet ke server. Artinya, dengan beralih ke HTTPS. Namun, masalah terakhir, masalah Identitas adalah di mana Otoritas Sertifikat ikut bermain.

Memulai sesi HTTP Terenkripsi

Masalah utama dengan komunikasi terenkripsi melalui saluran yang tidak aman adalah “Bagaimana kita memulainya?”

Langkah pertama akan melibatkan dua pihak, browser Anda dan server, untuk bertukar kunci enkripsi untuk ditukar melalui saluran yang tidak aman. Jika Anda tidak terbiasa dengan istilah kunci, anggap itu sebagai kata sandi yang dibuat secara acak yang sangat panjang yang dengannya data Anda akan dienkripsi sebelum dikirim melalui saluran yang tidak aman.

Nah, jika kunci dikirim melalui saluran yang tidak aman, siapa pun dapat mendengarkannya dan membahayakan keamanan sesi HTTPS Anda di masa mendatang. Selain itu, bagaimana kita bisa percaya bahwa kunci yang dikirim oleh server yang mengaku sebagai www.contoh.com memang pemilik sebenarnya dari nama domain itu? Kami dapat memiliki komunikasi terenkripsi dengan pihak jahat yang menyamar sebagai situs yang sah dan tidak tahu bedanya.

Jadi, masalah memastikan identitas itu penting jika kita ingin memastikan pertukaran kunci yang aman.

Otoritas Sertifikat

Anda mungkin pernah mendengar tentang LetsEncrypt, DigiCert, Comodo dan beberapa layanan lain yang menawarkan sertifikat TLS untuk nama domain Anda. Anda dapat memilih salah satu yang sesuai dengan kebutuhan Anda. Sekarang, orang/organisasi yang memiliki domain harus membuktikan dengan cara tertentu kepada Otoritas Sertifikat mereka bahwa mereka memang memiliki kendali atas domain tersebut. Ini dapat dilakukan dengan membuat catatan DNS dengan nilai unik di dalamnya, seperti yang diminta oleh Otoritas Sertifikat, atau Anda dapat menambahkan file ke server web Anda, dengan konten yang ditentukan oleh Otoritas Sertifikat, CA kemudian dapat membaca file ini dan konfirmasikan bahwa Anda adalah pemilik domain yang sah.

Kemudian Anda menegosiasikan sertifikat TLS dengan CA, dan itu menghasilkan kunci pribadi dan sertifikat TLS publik yang dikeluarkan untuk domain Anda. Pesan yang dienkripsi oleh kunci pribadi Anda kemudian dapat didekripsi oleh sertifikat publik dan sebaliknya. Ini dikenal sebagai enkripsi asimetris

Peramban klien, seperti Firefox dan Chrome (kadang-kadang bahkan sistem Operasi) memiliki pengetahuan tentang Otoritas Sertifikat. Informasi ini dimasukkan ke dalam browser/perangkat sejak awal (artinya, ketika diinstal) sehingga mereka tahu bahwa mereka dapat mempercayai CA tertentu. Sekarang, ketika mereka mencoba dan terhubung ke www.contoh.com melalui HTTPS dan melihat sertifikat yang dikeluarkan oleh, katakanlah DigiCert, browser benar-benar dapat memverifikasi bahwa menggunakan kunci yang disimpan secara lokal. Sebenarnya, ada beberapa langkah perantara lagi, tapi ini adalah gambaran sederhana yang bagus tentang apa yang terjadi.

Sekarang sertifikat yang diberikan oleh www.contoh.com dapat dipercaya, ini digunakan untuk menegosiasikan kunci enkripsi simetris unik yang digunakan antara klien dan server untuk sisa sesi mereka. Dalam enkripsi simetris, satu kunci digunakan untuk mengenkripsi serta dekripsi dan biasanya jauh lebih cepat daripada rekan asimetrisnya.

Nuansa

Jika ide TLS dan keamanan Internet menarik bagi Anda, Anda dapat melihat lebih jauh topik ini dengan menggali LetsEncrypt dan TLS CA gratis mereka. Ada lebih banyak hal kecil untuk seluruh omong kosong ini daripada yang disebutkan di atas.

Sumber daya lain yang dapat saya rekomendasikan untuk mempelajari lebih lanjut tentang TLS adalah Blog Troy Hunt dan pekerjaan yang dilakukan oleh EFF seperti HTTPS Everywhere dan Certbot. Semua sumber daya gratis untuk diakses dan sangat murah untuk diterapkan (Anda hanya perlu membayar pendaftaran nama domain dan biaya per jam VPS) dan mendapatkan pengalaman langsung.