Memahami Sertifikat
Situs Web
Anda mungkin telah terpapar ke web situs, atau host, sertifikat jika Anda pernah mengklik gembok pada browser Anda atau bila mengunjungi situs web, telah disajikan dengan kotak dialog menyatakan bahwa ada kesalahan dengan nama atau tanggal pada sertifikat. Memahami apa yang ketiga sertifikat ini dapat membantu Anda melindungi privasi Anda.
Apa sertifikat situs web?
Jika sebuah organisasi ingin memiliki situs Web aman yang
menggunakan enkripsi, perlu mendapatkan situs, atau host, sertifikat.
Beberapa langkah yang dapat diambil untuk membantu menentukan jika
sebuah situs yang menggunakan enkripsi untuk mencari gembok tertutup di
status bar di bagian bawah jendela browser Anda dan untuk mencari
"https:" daripada "http:" dalam URL (lihat Melindungi Privasi Anda untuk
informasi lebih lanjut). Dengan memastikan situs web mengenkripsi
informasi Anda dan memiliki sertifikat yang valid, Anda dapat membantu
melindungi diri terhadap penyerang berbahaya yang membuat situs untuk
mengumpulkan informasi Anda. Anda ingin pastikan Anda tahu di mana
informasi Anda sebelum Anda akan mengirimkan apa pun (lihat Menghindari
Rekayasa Sosial dan Serangan Phising untuk informasi lebih lanjut).
Jika sebuah situs web memiliki sertifikat
yang sah, itu berarti bahwa otoritas sertifikat telah mengambil
langkah-langkah untuk memverifikasi bahwa alamat web yang benar-benar
milik organisasi tersebut. Ketika Anda mengetik URL atau mengikuti link
ke suatu situs Web aman, browser Anda akan memeriksa sertifikat untuk
karakteristik berikut:
1. alamat
situs web dengan alamat pada sertifikat
2. sertifikat ditandatangani oleh otoritas sertifikat yang browser mengakui sebagai otoritas "dipercaya"
2. sertifikat ditandatangani oleh otoritas sertifikat yang browser mengakui sebagai otoritas "dipercaya"
Dapatkah Anda percaya
sertifikat?
Tingkat
kepercayaan Anda masukkan ke dalam sebuah sertifikat akan terhubung
dengan berapa banyak Anda mempercayai organisasi dan otoritas
sertifikat. Jika alamat web dengan alamat pada sertifikat, sertifikat
ditandatangani oleh otoritas sertifikat terpercaya, dan tanggal berlaku,
Anda dapat lebih yakin bahwa situs yang Anda ingin mengunjungi
sebenarnya adalah situs yang Anda kunjungi. Namun, kecuali Anda secara
pribadi memastikan bahwa sertifikat sidik jari yang unik dengan
menghubungi langsung organisasi, tidak ada cara untuk menjadi
benar-benar yakin.
Ketika Anda
percaya sertifikat, Anda pada dasarnya mempercayai otoritas sertifikat
untuk memverifikasi identitas organisasi untuk Anda. Namun, penting
untuk menyadari bahwa otoritas sertifikat berbeda-beda dalam cara ketat
mereka tentang memvalidasi semua informasi di dalam permintaan dan
sekitar memastikan bahwa data mereka aman. Secara default, browser Anda
berisi daftar lebih dari 100 dipercaya otoritas sertifikat. Itu berarti
bahwa, dengan ekstensi, Anda percaya semua yang otoritas sertifikat
untuk benar memverifikasi dan memvalidasi informasi. Sebelum memasukkan
informasi pribadi, Anda mungkin ingin melihat sertifikat tersebut.
Bagaimana Anda memeriksa sertifikat?
Ada dua
cara untuk memverifikasi sertifikat situs web di Internet Explorer atau
Mozilla. Salah satu pilihan adalah dengan mengklik pada gembok di status
bar jendela browser Anda. Namun, browser Anda mungkin tidak menampilkan
status bar secara default. Juga, penyerang mungkin dapat membuat situs
web berbahaya yang jika palsu ikon gembok dan menampilkan jendela dialog
palsu Anda mengklik ikon itu. Cara yang lebih aman untuk mencari
informasi tentang sertifikat tersebut adalah untuk mencari fitur
sertifikat dalam pilihan menu. Informasi ini dapat berada di bawah
properti file atau pilihan keamanan dalam halaman informasi. Anda akan
mendapatkan kotak dialog dengan informasi tentang sertifikat tersebut,
termasuk yang berikut:
- Yang mengeluarkan sertifikat tersebut - Anda harus memastikan bahwa penerbit adalah sah, terpercaya otoritas sertifikat (Anda dapat melihat nama-nama seperti VeriSign, Thawte, atau TPA). Beberapa organisasi juga memiliki sertifikat otoritas mereka sendiri yang mereka gunakan untuk mengeluarkan sertifikat ke situs internal seperti intranet.
- Yang sertifikat dikeluarkan untuk - Sertifikat harus diterbitkan untuk organisasi yang memiliki situs web. Jangan percaya sertifikat jika nama pada sertifikat tidak sesuai dengan nama organisasi atau orang yang Anda harapkan.
- Tanggal kadaluwarsa - sertifikat Kebanyakan diterbitkan untuk satu atau dua tahun. Satu pengecualian adalah sertifikat untuk sertifikat otoritas itu sendiri, yang, karena jumlah keterlibatan yang diperlukan untuk mendistribusikan informasi tersebut kepada semua organisasi yang memegang sertifikat tersebut, mungkin sepuluh tahun. Berhati-hatilah terhadap organisasi dengan sertifikat yang berlaku selama lebih dari dua tahun atau dengan sertifikat yang telah kedaluwarsa.
Ketika
mengunjungi situs web, Anda mungkin telah disajikan dengan kotak dialog
yang menyatakan bahwa ada kesalahan dengan sertifikat situs. Hal ini
bisa terjadi jika nama sertifikat itu terdaftar untuk tidak cocok dengan
nama situs, Anda telah memilih untuk tidak mempercayai perusahaan yang
menerbitkan sertifikat, atau sertifikat telah kadaluarsa. Anda biasanya
akan disajikan dengan pilihan untuk memeriksa sertifikat, setelah itu
Anda dapat menerima sertifikat tersebut selamanya, hanya menerima
kunjungan khusus untuk itu, atau memilih untuk tidak menerimanya.
Kebingungan kadang-kadang mudah untuk menyelesaikan (mungkin sertifikat dikeluarkan ke departemen tertentu dalam organisasi bukan nama file). Jika Anda tidak yakin apakah sertifikat itu valid atau pertanyaan keamanan situs, jangan kirimkan informasi pribadi. Bahkan jika informasi tersebut dienkripsi, pastikan untuk membaca kebijakan privasi organisasi pertama sehingga Anda tahu apa yang dilakukan dengan informasi tersebut (lihat Melindungi Privasi Anda untuk informasi lebih lanjut).
Kebingungan kadang-kadang mudah untuk menyelesaikan (mungkin sertifikat dikeluarkan ke departemen tertentu dalam organisasi bukan nama file). Jika Anda tidak yakin apakah sertifikat itu valid atau pertanyaan keamanan situs, jangan kirimkan informasi pribadi. Bahkan jika informasi tersebut dienkripsi, pastikan untuk membaca kebijakan privasi organisasi pertama sehingga Anda tahu apa yang dilakukan dengan informasi tersebut (lihat Melindungi Privasi Anda untuk informasi lebih lanjut).