SSL checker di atas menjalankan diagnostik lengkap pada sertifikat SSL/TLS yang menghadap publik dan menghasilkan laporan terperinci yang mencakup peringkat keamanan, rantai sertifikat, cipher suite, pemindaian kerentanan, dan kompatibilitas browser. Bagian-bagian di bawah ini menjelaskan cara membaca setiap bagian laporan tersebut.
Memahami Peringkat Keamanan SSL Anda
Setiap pemindaian SSL checker menghasilkan nilai huruf dari A+ hingga F, disertai skor numerik dari 100.
- Nilai A atau A+ berarti sertifikat telah terpasang dengan benar, menggunakan kriptografi modern, dan server memiliki fitur keamanan yang tepat yang telah diaktifkan.
- Sertifikat dengan nilai B berfungsi tetapi menunjukkan adanya ruang untuk penguatan keamanan.
- Nilai C ke bawah biasanya menunjukkan versi TLS yang sudah usang, fitur keamanan yang hilang, atau sertifikat yang akan segera kedaluwarsa.
Skor dihitung berdasarkan bobot dari lima kategori:
- Sertifikat (validitas dan algoritma)
- Kepercayaan (Certificate Authority yang diakui dan integritas rantai)
- Protokol (versi TLS yang didukung, protokol yang sudah usang dinonaktifkan)
- Fitur (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
- Validitas (sisa waktu sebelum kedaluwarsa)
Sebagian besar penurunan peringkat berasal dari kategori Fitur. Sertifikat berfungsi, rantai tidak bermasalah, protokol sudah terkini, tetapi HSTS belum dikonfigurasi atau record CAA belum dipublikasikan. Itu adalah perbaikan di sisi server dan sisi DNS, bukan masalah sertifikat.
Membaca detail sertifikat Anda
SSL checker menguraikan setiap sertifikat dalam rantai berdasarkan field per field.
Common Name — domain utama yang menjadi tujuan penerbitan sertifikat. Harus cocok dengan URL yang diperiksa, atau browser akan menolak koneksi tersebut.
Issued By — intermediate penerbit beserta Certificate Authority induknya. Nama-nama yang dikenal seperti Sectigo, DigiCert, GeoTrust, atau Google Trust Services dipercaya secara otomatis. Penerbit yang tidak dikenal atau apa pun yang “self-signed” akan memicu peringatan.
Valid From / Valid To — jendela validitas sertifikat. Valid From lebih penting dari yang diperkirakan banyak orang: jika jam server salah atau sertifikat dipasang terlalu awal, browser akan menolaknya sebagai belum valid.
Signature Algorithm — sertifikat modern menggunakan SHA-256, SHA-384, atau ecdsa-with-SHA256. SHA-1 telah dihentikan penggunaannya bertahun-tahun lalu dan sertifikat apa pun yang masih menggunakannya harus diterbitkan ulang.
Public Key — RSA 2048-bit atau lebih tinggi adalah standar. ECC 256-bit adalah alternatif modern yang menghasilkan sertifikat lebih kecil dan lebih cepat.
SAN (Subject Alternative Name) — nama host tambahan yang dicakup oleh sertifikat. Wildcard seperti *.example.com mencakup semua subdomain satu tingkat. Sertifikat multi-domain mencantumkan setiap nama host yang dilindungi di sini. Untuk sertifikat DV, OV, atau EV, daftar SAN menentukan dengan tepat domain mana yang akan divalidasi oleh sertifikat tersebut.
Penjelasan fitur keamanan sertifikat SSL
Selain sertifikat itu sendiri, SSL checker melaporkan panel enam fitur keamanan.
OCSP Stapling — server mengambil terlebih dahulu status pencabutannya sendiri dari CA dan menyertakannya dalam TLS handshake di port 443. “Not Supported” menambah latensi pada setiap koneksi. Biasanya hanya perlu perubahan satu baris konfigurasi di Apache, Nginx, atau IIS.
Perfect Forward Secrecy (PFS) — setiap sesi menggunakan kunci unik, sehingga kompromi kunci privat di masa depan tidak dapat mendekripsi lalu lintas masa lalu. “Not Supported” berarti sesi yang direkam berpotensi didekripsi secara retroaktif. Aktifkan dengan memprioritaskan cipher suite ECDHE.
Certificate Transparency (CT) — sertifikat yang diterbitkan dicatat ke log CT publik, sehingga pemilik domain dapat mendeteksi penerbitan yang tidak sah. “Not Supported” pada sertifikat publik adalah hal yang tidak biasa.
HSTS (HTTP Strict Transport Security) — header respons server yang memberi tahu browser untuk menolak koneksi HTTP biasa. Tanpa HSTS, penyerang dapat menurunkan koneksi pengunjung dari HTTPS dan mencegat lalu lintas. Tambahkan header Strict-Transport-Security di konfigurasi web server.
Status Pencabutan Sertifikat — checker melakukan kueri OCSP dan CRL untuk memastikan sertifikat belum dicabut. “Good” = aktif. “Revoked” = browser akan menolaknya, segera terbitkan ulang. “Unknown” pada CRL adalah hal umum dan bukan masalah jika OCSP mengembalikan Good.
DNS CAA Record — record DNS yang mencantumkan Certificate Authority mana yang boleh menerbitkan sertifikat untuk domain tersebut. Tanpa record ini, CA mana pun secara teknis dapat menerbitkan sertifikat. Tambahkan record CAA di penyedia DNS yang mencantumkan CA Anda.
Hasil pemindaian kerentanan TLS
Lima kerentanan TLS yang telah dikenal dipindai. Sebagian besar server telah menambalnya bertahun-tahun lalu, sehingga SSL checker biasanya mengonfirmasi bahwa semuanya aman.
Heartbleed (CVE-2014-0160) — bug pembacaan memori OpenSSL yang mengekspos kunci privat. “Safe” berarti server menjalankan build OpenSSL yang telah ditambal.
POODLE (CVE-2014-3566) — serangan padding-oracle terhadap SSLv3. “Safe” berarti SSLv3 telah dinonaktifkan.
BEAST (CVE-2011-3389) — kelemahan cipher block chaining pada TLS 1.0. “Safe” berarti TLS 1.0 dinonaktifkan atau server menggunakan cipher suite yang tidak rentan.
ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. Kelemahan padding RSA yang muncul kembali di banyak implementasi vendor. “Safe” berarti server tidak mengekspos pertukaran kunci yang rentan.
Ticketbleed (CVE-2016-9244) — pengungkapan memori spesifik F5 BIG-IP melalui TLS session ticket. “Safe” berarti tidak ada perangkat F5 yang belum ditambal.
Cipher suite dan dukungan protokol
SSL checker mengelompokkan cipher suite yang didukung di bawah TLS 1.3, TLS 1.2, dan Weak.
- TLS 1.3 memiliki daftar kecil suite yang dirancang kuat secara bawaan.
- Kualitas cipher TLS 1.2 bervariasi, itulah mengapa setiap suite dienumerasi secara individual.
- Kolom Weak menandai protokol atau cipher yang sudah usang dan harus dinonaktifkan: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES, dan cipher NULL atau EXPORT apa pun.
Nama cipher suite mengikuti struktur yang dapat diprediksi. Dalam TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:
- ECDHE adalah pertukaran kunci (menyediakan Perfect Forward Secrecy)
- ECDSA adalah algoritma tanda tangan
- AES_256_GCM adalah cipher simetris
- SHA384 adalah fungsi hash
Baik AES 128-bit maupun 256-bit aman digunakan.
Validasi rantai sertifikat
Laporan menampilkan rantai sertifikat lengkap dalam tiga tingkatan:
- Sertifikat Server
- Sertifikat Intermediate
- Sertifikat Root
Setiap tingkatan ditandatangani oleh tingkatan di atasnya, dan rantai harus berakhir pada root yang sudah dipercaya oleh browser.
“Chain Complete” berarti browser dapat menelusuri dari server ke root tanpa masalah.
“Incomplete” berarti satu atau lebih intermediate tidak ada dalam apa yang dikirimkan server, sehingga browser tidak dapat menghubungkan sertifikat kembali ke root yang dipercaya dan pengunjung akan melihat peringatan keamanan.
Rantai yang tidak lengkap adalah salah satu masalah instalasi SSL yang paling umum, dan SSL checker menandainya di bagian atas laporan. Solusinya hampir selalu menginstal ulang menggunakan bundle rantai lengkap yang disediakan CA. Jalur spesifik server berbeda-beda: Apache menggunakan direktif chain file sementara Nginx mengharapkan fullchain.pem. IIS menangani pembangunan ulang rantai melalui wizard impor sertifikat.
Memeriksa kedaluwarsa sertifikat SSL
SSL checker menampilkan kedaluwarsa di dua tempat: ringkasan atas menampilkan sisa hari dan tanggal Valid To, dan setiap sertifikat dalam rantai menampilkan jendela validitasnya sendiri.
Berdasarkan CA/Browser Forum Ballot SC-081v3, masa berlaku sertifikat SSL/TLS publik sedang diturunkan secara bertahap. Per 15 Maret 2026, masa berlaku maksimum turun dari 398 hari menjadi 200 hari. Turun menjadi 100 hari mulai 15 Maret 2027, dan menjadi 47 hari mulai 15 Maret 2029.
Dengan sertifikat 200 hari, pemeriksaan bulanan ditambah pengingat pada tanda 30 hari sudah cukup. Saat sertifikat 47 hari tiba, pembaruan manual menjadi tidak praktis. Solusi standarnya adalah otomatisasi berbasis ACME, yang memungkinkan server meminta dan memperbarui sertifikat tanpa intervensi manual.
Kompatibilitas browser – kapan hal ini penting
SSL checker menguji sertifikat terhadap 13 kombinasi browser dan perangkat. Browser modern (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, iOS 15+ Safari, Android 10+) harus selalu menampilkan Supported pada sertifikat yang terkini.
Platform mobile yang lebih lama seperti Android 5-7 dan iOS 12 sering menampilkan dukungan parsial. Apakah hal itu penting bergantung pada audiens. Browser desktop lawas seperti Internet Explorer 10 dan 11 hampir selalu gagal pada sertifikat modern karena tidak mendukung TLS 1.2 secara default. Skor 9/13 dengan semua browser modern berwarna hijau adalah hal yang normal di tahun 2026.
Kapan harus menjalankan pemeriksaan SSL
Satu kali pemeriksaan setelah instalasi tidaklah cukup. Jalankan SSL checker:
- Setelah memasang sertifikat baru
- 30 hari sebelum kedaluwarsa pada siklus 200 hari
- Setelah setiap pembaruan atau penerbitan ulang
- Setelah migrasi server atau perubahan IP
- Setelah beralih Certificate Authority
- Setelah beralih ke pengaturan wildcard atau multi-domain
- Setelah mengaktifkan HSTS, OCSP Stapling, atau perubahan konfigurasi TLS apa pun
Pertanyaan yang Sering Diajukan
Bulanan adalah baseline yang masuk akal. Dengan sertifikat 200 hari sekarang menjadi maksimum, atur pengingat keras untuk menjalankan pemeriksaan penuh 30 hari sebelum kedaluwarsa. Jalankan pemeriksaan tambahan setelah pembaruan, karena kesalahan bundle rantai adalah masalah pasca-pembaruan yang paling umum.
Salin tautan
Targetkan nilai A atau A+. Nilai B berfungsi di setiap browser, tetapi celah tersebut biasanya menunjukkan masalah yang dapat diperbaiki. Sebagian besar penurunan rating dapat dilacak kembali ke dua item yang ditandai oleh SSL checker di panel fitur keamanan: header HSTS yang hilang atau record CAA yang tidak dikonfigurasi. Keduanya tidak memerlukan perubahan pada sertifikat.
Salin tautan
Server Anda tidak mengirimkan semua sertifikat perantara yang dibutuhkan browser. Solusi cepat: Apache menggunakan SSLCertificateChainFile atau bundle gabungan, Nginx memerlukan file fullchain.pem, dan IIS membangun kembali rantai melalui wizard impor sertifikat.
Salin tautan
Tidak, pemeriksa publik tidak dapat menjangkau host internal di balik firewall. Dari mesin di jaringan yang sama, jalankan openssl s_client -connect host:443 -servername host untuk output yang setara. Alat baris perintah OpenSSL disertakan dengan sebagian besar distribusi Linux dan tersedia untuk Windows.
Salin tautan
Ya. Ini membaca sertifikat apa pun yang disajikan server, dari Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services, dan lainnya. Katalog sertifikat SSL SSL Dragon mencakup enam dari CA tersebut secara berdampingan.
Salin tautan
HSTS adalah header respons server, bukan bagian dari sertifikat. Sertifikat dapat sepenuhnya valid sementara HSTS tetap tidak dikonfigurasi. Tambahkan di konfigurasi web server: Apache menggunakan Header always set Strict-Transport-Security, Nginx menggunakan add_header Strict-Transport-Security.
Salin tautan
