Mengaktifkan SSL (HTTPS) Pada Web Berbasis Apache dan Open SSL

Testing

Untuk melakukan pengecekan dapat dilakukan secara online (mudah dibaca), misalnya melalui situs https://www.sslshopper.com/ssl-checker.html, https://www.ssllabs.com/ssltest, atau situs lainnya. Situs-situs tersebut dapat dicari melalui mesin pencarian online dengan kata kunci “SLL Checker Online”. Di bawah ini adalah contoh sertifkat yang valid (kiri) dan yang tidak valid (kanan).

Alternatif penyebab tidak valid:

1. Cek apakah sertifikat kadaluarsa
2. Cek apakah salah membuat ca-bundle, baik karena urutan salah atau salah menggabungkan sertifikat-sertifikat intermediate (chain dan root)
3. Cek apakah salah setting di server (misalnya salah menunjuk berkas ca-bundle)
4. Cek apakah sertifikat intermediate yang dikirim oleh penyedia SSL bermasalah (dapat ditanyakan ke penyedia SSL) → Ini adalah penyebab untuk kasus di atas (sebelah kanan)

Konsekuensi:

1. Jika sertifikat Domain tidak valid, maka status di koneksi manapun akan bersifat not secure.
2. Jika hanya sertifikat Domain valid, maka status di browser (mozilla, chrome, dsb) akan bersifat secure.
3. Jika sertifikat Intermediate ada yang tidak valid, maka status di browser (mozilla, chrome, dsb) akan bersifat secure, tetapi untuk aplikasi lain bernilai not secure, bahkan ada yang menolak untuk melanjutkan proses, misalnya keluar pesan kesalahan pada aplikasi Android: “Error 1101: Unable to ger a response with the specified URL”
   
4. Jika sertifikat Intermediate valid, maka status di semua aplikasi, termasuk browser (mozilla, chrome, dsb) akan bersifat secure.

Solusi:

1. Cari informasi hierarki dari sertifikat Intermediate di mesin pencarian, misalnya dengan kata kunci Sectigo Chain Hierarchy and Intermediate Roots, atau dengan kata sejenis, dan misalnya ditemukan alamat https://support.sectigo.com/IS_KnowledgeDetailPageFaq?Id=kA01N000000rgSZ
   Didapat, misalnya:
   Trust Chain Path A:
   AddTrust External CA Root [Root]
   USERTrust RSA Certification Authority (Intermediate) [Intermediate 2]
   Sectigo RSA DV/OV/EV Secure Server CA [Intermediate 1]
   End Entity [Leaf Certificate]
   Trust Chain Path B:
   USERTrust RSA Certification Authority (Root CA) [Root]
   Sectigo RSA DV/OV/EV Secure Server CA [Intermediate 1]
   End Entity [Leaf Certificate]
2. Bandingkan hierarki tersebut dengan hasil testing di atas dan dengan ca-bundle.
   
   Untuk kasus ini ditemukan bahwa terjadi tidak valid di bagian ke-tiga dari ca-bundle, maka hapus bagian ke-tiga tersebut
3. Cari informasi link ke sertifikat Intermediate yang ada di halaman informasi hiearki sertifikat Intermediate di atas
   
4. Pilih sesuai dengan paket yang dibeli, untuk kasus ini adalah Domain Validation, coba satu per satu
   
5. Salin ke berkas /etc/ssl/intermediate.ca-bundle untuk menggantikan yang dihapus tadi, kemudian restart apache2 dengan perintah service apache2 restart
6. Lakukan testing lagi, jika gagal, maka coba langkah 4 dan 5 di atas, sampai berhasil. Jika berhasil dan digunakan juga di Tomcat, maka ekspor kembali sertifikatnya ke bentuk lain yang bisa digunakan oleh Tomcat (PKCS12).
   
   

Semoga bermanfaat. [bst]