Let’s Encrypt adalah Otoritas Sertifikat yang populer, gratis, dan sumber terbuka yang dijalankan oleh Internet Research Security Group (ISRG) dengan lebih dari satu miliar sertifikat yang dikeluarkan untuk situs web di seluruh dunia. Meskipun tidak ada yang menyangkal kontribusi besar perusahaan ini terhadap adopsi HTTPS di seluruh WEB, sayangnya, sertifikat Let’s Encrypt tidak kebal terhadap bug atau eksploitasi jahat. Kemunduran terakhir terjadi ketika lebih dari tiga juta sertifikat terkena bug dan harus dicabut.
Penyebabnya adalah kode yang memeriksa CCA (Otorisasi Otoritas Sertifikat) setiap kali pengguna memperbarui sertifikat SSL mereka untuk memastikan pemilik domain tidak memberlakukan batasan apa pun pada siapa saja yang dapat memperbarui. Akibatnya, pemilik beberapa domain terpapar pada potensi serangan siber karena pemeriksaan otomatis Let’s Encrypt hanya memindai satu domain dan melewatkan domain lainnya.
Pada awalnya, Let’s Encrypt mengumumkan bahwa mereka akan mencabut sekitar tiga juta sertifikat untuk mematuhi aturan industri; namun, dengan cepat, perusahaan memutuskan untuk membiarkan lebih dari 1 juta sertifikat SSL tetap aktif. Inilah yang dikatakan oleh direktur eksekutif IRSG tentang masalah ini:
“Sayangnya, kami yakin bahwa kemungkinan besar lebih dari 1 juta sertifikat tidak akan diganti sebelum tenggat waktu pencabutan tiba. Daripada berpotensi merusak begitu banyak situs dan menimbulkan kekhawatiran bagi pengunjungnya, kami telah memutuskan bahwa demi kesehatan Internet, kami tidak mencabut sertifikat-sertifikat tersebut sebelum tenggat waktu.”
Ia kemudian memastikan bahwa sertifikat yang berpotensi tidak dicabut akan segera berakhir.
“Let’s Encrypt hanya menawarkan sertifikat dengan masa berlaku 90 hari, sehingga sertifikat yang mungkin terkena dampak yang tidak kami cabut akan meninggalkan ekosistem dengan relatif cepat. Kami berencana untuk mencabut lebih banyak sertifikat setelah kami yakin bahwa hal itu tidak akan mengganggu pengguna web.”
Bug Let’s Encrypt, meskipun bukan bencana, menyoroti kelemahan sertifikat validasi domain gratis dan pentingnya manajemen sertifikat SSL yang efisien dan bereputasi baik. Ketika ratusan atau ribuan sertifikat dipertaruhkan, memperbarui sertifikat secara manual bukanlah sebuah pilihan. Otoritas Sertifikat harus memastikan proses otorisasi dan validasi yang dapat dipercaya, sementara perusahaan harus berinvestasi dalam alat yang mengotomatiskan penerbitan dan pengelolaan sertifikat SSL.
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
