Apa itu penyematan Sertifikat?

Penyematan Sertifikat adalah teknik keamanan di mana hanya diotorisasi, atau disematkan, sertifikat diterima saat membuat sesi yang aman. Setiap upaya untuk membuat sesi aman menggunakan sertifikat yang berbeda ditolak.

Riwayat penyematan sertifikat

Penyematan sertifikat awalnya dirancang sebagai sarana untuk menggagalkan serangan Man-in-the-Middle (MITM). Penyematan sertifikat pertama kali menjadi populer pada tahun 2011 karena hasil kompromi DigiNotar Certificate Authority (CA), di mana penyerang dapat membuat sertifikat kartubebas untuk beberapa situs web profil tinggi termasuk Google. Chrome diperbarui untuk "menyematkan" sertifikat saat ini untuk situs web Google dan akan menolak koneksi apa pun jika sertifikat yang berbeda disajikan. Bahkan jika penyerang menemukan cara untuk meyakinkan CA untuk mengeluarkan sertifikat penipuan, itu masih akan dikenali oleh Chrome sebagai tidak valid, dan koneksi ditolak.

Meskipun browser web seperti Chrome dan Firefox adalah salah satu aplikasi pertama yang menerapkan teknik ini, rentang kasus penggunaan diperluas dengan cepat. Perangkat Internet of Things (IoT), aplikasi seluler iOS dan Android, dan kumpulan aplikasi perangkat lunak yang berbeda mulai menggunakan teknik ini untuk bertahan dari serangan Man-in-the-Middle.

Selama beberapa tahun, penyematan sertifikat dianggap sebagai praktik keamanan yang baik. Pengawasan atas lanskap Public Key Infrastructure (PKI) publik telah meningkat dengan transparansi menjadi praktik penerbitan CA yang dipercaya publik.

Cara mengatasi penyematan sertifikat di aplikasi Anda

Biasanya, aplikasi berisi daftar sertifikat atau properti sertifikat resmi termasuk Nama Yang Dibedakan Subjek, thumbprint, nomor seri, dan kunci publik. Aplikasi mungkin menyematkan sertifikat CA subordinat atau sertifikat OS subordinat, atau bahkan sertifikat CA Akar.

Jika aplikasi Anda secara eksplisit menentukan daftar CA yang dapat diterima, Anda mungkin secara berkala perlu memperbarui sertifikat yang disematkan saat Otoritas Sertifikat berubah atau kedaluwarsa. Untuk mendeteksi penyematan sertifikat, sebaiknya lakukan langkah-langkah berikut:

• Jika Anda adalah pengembang aplikasi, cari kode sumber Anda untuk salah satu referensi berikut untuk CA yang berubah atau kedaluwarsa. Jika ada kecocokan, perbarui aplikasi untuk menyertakan CA yang hilang.

  • Thumbprint sertifikat
  • Nama Khusus Subjek
  • Nama Umum
  • Nomor seri
  • Kunci umum
  • Properti sertifikat lainnya

• Jika aplikasi klien kustom Anda terintegrasi dengan Api Azure atau layanan Azure lainnya dan Anda tidak yakin apakah aplikasi tersebut menggunakan penyematan sertifikat, tanyakan kepada vendor aplikasi.

Batasan penyematan sertifikat

Praktik penyematan sertifikat telah menjadi banyak disengketakan karena membawa biaya kelincahan sertifikat yang tidak dapat diterima. Satu implementasi spesifik, HTTP Public Key Pinning (HPKP), telah ditolak sama sekali

Karena tidak ada standar web tunggal tentang bagaimana penyematan sertifikat dilakukan, kami tidak dapat menawarkan panduan langsung dalam mendeteksi penggunaannya. Meskipun kami tidak merekomendasikan untuk tidak menyematkan sertifikat, pelanggan harus mengetahui batasan yang dibuat praktik ini jika mereka memilih untuk menggunakannya.

• Pastikan bahwa sertifikat yang disematkan dapat diperbarui dalam waktu singkat.
• Persyaratan industri, seperti Persyaratan Dasar FORUM CA/Browser untuk Penerbitan dan Pengelolaan Sertifikat Tepercaya Publik memerlukan rotasi dan pencabutan sertifikat dalam waktu sesedikit 24 jam dalam situasi tertentu.

Langkah berikutnya

• Periksa detail Otoritas Sertifikat Azure untuk perubahan mendatang
• Tinjau praktik dan pola terbaik Dasar-Dasar Keamanan Azure