MENGAPA PROSES VALIDASI YANG KUAT UNTUK SSL PENTING BAGI MENJAGA KEPERCAYAAN DALAM TRANSAKSI DI INTERNET ~ HEY BLOG

Hello.. teman-teman, hari ini saya akan membagikan ringkasan makalah yang sangat bermanfaat bagi teman-teman. Makalah ini akan sangat lebih bermanfaat bagi teman-teman yang hobby nya belanja online. Loh.. kenapa??? Ya.. iya karena dalam makalah ini kita akan tahu apa sih bedanya web E-commerce yang kalo dibuka alamatnya hanya http:// dengan web E-commerce yang alamatnya https:// . Yuk.. daripada penasaran, silahkan dibaca…(komentarnya jangan lupa ya… hihihi).

Pengenalan
Hari ini, perdagangan online bernilai sekitar US $ 1 Triliun dan terus tumbuh pada tingkat yang cukup besar. Satu dari faktor kunci keberhasilan untuk e-commerce adalah pelaksanaan teknologi keamanan yang tersedia ke browser dan server web - pada SSL tertentu. SSL (Secure Sockets Layer) adalah keamanan transaksi protokol yang digunakan oleh ratusan ribu website untuk melindungi perdagangan online. Meluasnya penggunaan SSL telah selalu mendorong perdagangan online dan membantunya naik ke tingkat saat ini. Protokol SSL dirilis oleh Netscape sebagai teknologi keamanan pada tahun 1996 konsumen telah dididik untuk mencari gembok SSL sebelum melewati setiap detail penting melalui Internet. Secara teknis, SSL protokol memberikan link dienkripsi antara dua pihak, namun di mata konsumen, melihat SSL gembok di browser mereka mendapatkan keuntungan seperti
Memiliki (dienkripsi) link yang aman dengan situs web
Situs yang menampilkan gembok adalah organisasi atau badan hukum bertanggung jawab valid dan sah.
Makalah ini membahas bagaimana kita menggunakan SSL komersial dan seberapa baik proses validasi memainkan bagian penting dalam pelestarian infrastruktur e-commerce terbesar.

Secure Sockets Layer
SSL, merupakan teknologi keamanan standar untuk menciptakan link dienkripsi antara web server dan browser. Link ini memastikan bahwa semua data yang melewati antara web server dan browser tetap swasta dan integral. SSL adalah suatu standar industri dan digunakan oleh jutaan situs dalam perlindungan dari mereka transaksi online dengan pelanggan mereka. Agar dapat menghasilkan link SSL, server web membutuhkan SSL Certificate.

Siapa yang Bisa Mengeluarkan Sertifikat SSL?
Sertifikat SSL dapat diterbitkan oleh siapa saja menggunakan software yang tersedia secara bebas seperti Open SSL atau Microsoft Sertifikat Layanan manager. Sertifikat SSL tersebut dikenal sebagai Sertifikat "yang ditandatangani sendiri". Namun, ditandatangani sendiri Sertifikat SSL tidak inheren dipercaya oleh browser pelanggan dan sementara mereka masih dapat digunakan untuk enkripsi mereka akan menyebabkan browser untuk menampilkan "pesan peringatan" - menginformasikan pengguna bahwa sertifikat belum yang diterbitkan oleh entitas pengguna telah memilih untuk percaya. Peringatan tersebut tidak diinginkan untuk situs komersial - mereka akan mengusir pelanggan. Untuk menghindari seperti peringatan Sertifikat SSL harus dikeluarkan oleh "dipercaya sertifikasi otoritas" - dipercaya Sertifikasi pihak ketiga. Pihak berwenang yang memanfaatkan posisi dipercaya untuk menyediakan Sertifikat SSL.

Apa Otoritas Sertifikasi?
Browser dan Sistem Operasi datang dengan daftar preinstalled dipercaya Otoritas Sertifikasi, dikenal sebagai Trusted CA toko Root. Microsoft dan Netscape menyediakan sistem operasi utama dan browser, mereka memiliki terpilih apakah akan menyertakan Otoritas Sertifikasi ke toko Akar CA Trusted, sehingga memberikan status yang terbesar. sertifikat SSL dikeluarkan oleh dipercaya Otoritas Sertifikasi tidak menampilkan peringatan dan membangun aman hubungan antara situs dan browser yang transparan. Dalam keadaan seperti itu, gembok menandakan pengguna memiliki link dienkripsi dengan sebuah perusahaan yang telah mengeluarkan Sertifikat SSL terpercaya dari Otoritas Sertifikat dipercaya.
Microsoft dan Netscape karena telah menentukan peran Otoritas Sertifikasi - untuk menggunakan mereka dipercaya status "lulus kepercayaan" untuk situs yang biasanya tidak akan dipercaya oleh pelanggan. Isu kunci sekarang harus ditangani - sebelum melewati kepercayaan seperti itu, bagaimana CA tahu website dapat dipercaya?

Apa yang Otoritas Sertifikasi lakukan sebelum menerbitkan terpercaya SSL Certificate?
Protokol SSL tidak awalnya termasuk penyediaan identitas bisnis divalidasi dalam SSL Sertifikat. Namun baik Microsoft dan Netscape (dan vendor browser lain) memiliki kebijakan hanya mengeluarkan SSL Sertifikat untuk entitas divalidasi sehingga konsumen sekarang mengharapkan jaminan identitas situs tersebut. edukasi pasar melalui pers dan industri badan konsumen juga telah ditambahkan ke persepsi orang tentang SSL padlock sebagai menunjukkan situs yang aman dan otentik.
Sebagai hasil status "dunia" mereka, Otoritas Sertifikasi memiliki tanggung jawab untuk memastikan mereka hanya pernah masalah Sertifikat SSL untuk perusahaan yang sah. Ini hanya dapat dicapai dengan menggunakan proses validasi yang ketat untuk memastikan praktik penerbitan hanya mengizinkan Sertifikat SSL yang akan dikeluarkan untuk sebuah perusahaan yang sah. Setelah semua, siapa pun mengandalkan kehadiran Sertifikat SSL akan melakukannya bukan hanya untuk faktor enkripsi, tetapi juga untuk menunjukkan legitimasi situs.
Apakah mereka menyadarinya atau tidak, konsumen mendikte bahwa Otoritas Sertifikasi memiliki tugas untuk melakukan memuaskan validasi untuk semua pelamar SSL Certificate. Jika validasi lemah, kepercayaan konsumen di Sertifikat SSL akan dirusak. Gartner baru-baru ini meneliti konsekuensi dari validasi lemah dalam laporan mereka "Secure Sockets - kadang-kadang tidak ", dan menyimpulkan bahwa konsumen WEB- perdagangan berdasarkan bisa secara dramatis terhambat.

Semua Sertifikat SSL Tidak Sama!
Nilai SSL dilindungi oleh kekuatan dari proses validasi dua poin standar:
Langkah 1: Pastikan bahwa pemohon memiliki, atau memiliki hak hukum untuk menggunakan, nama domain ditampilkan dalam aplikasi.
Langkah 2: Pastikan bahwa pemohon adalah badan yang sah dan bisa dipertanggungjawabkan secara hukum.
Kompromi baik langkah membahayakan pesan kepercayaan dan legitimasi yang diberikan kepada konsumen akhir. Perusahaan seperti GeoTrust, melalui QuickSSL dan FreeSSL produknya, dan IPSCA, SSL Spanyol Penyedia, melakukan hanya tahap pertama dari proses validasi dua langkah (seperti yang digunakan oleh semua Penyedia SSL lainnya) dengan hanya memverifikasi bahwa pemohon memiliki nama domain yang disediakan selama aplikasi Sertifikat. Ini langkah validasi bergantung pada penggunaan Nama Domain Registrar Sakit det untuk memvalidasi kepemilikan nama domain dan kemudian email tantangan dikirim ke administrator terdaftar dari nama domain. Jika tantangannya adalah bertemu dengan balasan sukses, Sertifikat akan diterbitkan.
Siapa saja yang telah membeli nama domain tahu bahwa ketika menyelesaikan rincian kepemilikan, setiap perusahaan, organisasi atau orang dapat menjadi pemilik bernama - catatan ini tidak divalidasi! Jadi dengan mengandalkan semata-mata pada seperti catatan, informasi yang berpotensi tidak dapat dipercaya sedang dipercaya. Anehnya, GeoTrust bahkan menyebut ini cut-down proses otentikasi domain-control sebagai kuat dari validasi dua langkah tradisional - w hich termasuk kedua domain kepemilikan nama validasi langkah dan langkah tambahan verifikasi bisnis legitimasi. Untuk melindungi diri, GeoTrust memasukkan istilah "Organisasi Tidak Divalidasi" ke dalam Sertifikat yang dikeluarkan. Istilah ini dapat dilihat oleh semua pelanggan mengunjungi situs menggunakan SSL Certificate yang dikeluarkan. Sementara istilah diragukan lagi melindungi GeoTrust dari setiap jalur hukum potensial, itu juga berarti bahwa pelanggan website keuntungan sedikit kenyamanan dalam kepercayaan dari situs - setelah semua sejauh pelanggan yang bersangkutan Organisasi BELUM divalidasi!

Bahaya Komersial Validasi Lemah
Perusahaan menggunakan divalidasi lemah risiko Sertifikat kehilangan kepercayaan dari pelanggan yang mengandalkan Sertifikat tersebut ketika mereka menemukan Sertifikat singkatan dari "enkripsi" saja. Tanpa jaminan bahwa perusahaan di belakang situs tersebut sah, pelanggan akan pergi ke tempat lain untuk melakukan bisnis mereka. Dapat sebuah perusahaan yang benar-benar mampu untuk kehilangan pelanggan hanya karena pilihan mereka penyedia SSL?
Hanya dengan memilih SSL Certificate sangat divalidasi dari penyedia yang melakukan proses validasi dua langkah dapat harapan pengguna SSL direalisasikan, dan akhirnya diawetkan. Konsumen telah lama dikaitkan SSL dengan lebih dari sekedar enkripsi. Namun, dengan menghapus validasi yang memadai, Otoritas Sertifikat tidak memenuhinya tanggung jawab untuk memberikan kepercayaan dalam "sertifikat terpercaya".
Dalam lingkungan di mana kepercayaan sejalan dengan sukses komersial, menghapus validasi dari sangat produk yang digunakan untuk memberikan kepercayaan tersebut tidak hanya berbahaya tetapi juga menimbulkan ancaman jangka panjang bagi perekonomian Internet. Penyedia SSL ritel Sertifikat non-divalidasi akan sering mencoba untuk menjual "Trust" hanya produk. Downside untuk latihan ini adalah bahwa situs dipaksa untuk membeli kedua Sertifikat SSL dan produk Kepercayaan hanya untuk mendapatkan enkripsi dan fungsi kepercayaan, sedangkan SSL Certificate sepenuhnya divalidasi sudah dapat menyediakan baik.

Cukup sekian.. udah tahu bedanya kan??? Untuk makalah yang lebih langkap teman-teman bisa langsung baca pada link dibawah ini. Terima kasih :D..
Sumber:
https://www.instantssl.com/ssl-certificate-support/guides/docs/ssl_validation_white_paper_v1.03.pdf