Sejak Let’s Encrypt mengeluarkan sertifikat 90 hari pertamanya pada tahun 2015, terjadi pergeseran yang cukup signifikan dalam industri dari periode validitas sertifikat tiga tahun yang biasa. Seiring berjalannya waktu, periode ini secara bertahap disingkat menjadi dua tahun pada tahun 2018 dan kemudian menjadi satu tahun pada tahun 2020. Alasan di balik validitas sertifikat yang lebih singkat adalah beragam: membantu membatasi kerusakan dari kompromi kunci dan penerbitan yang salah, mendorong kemudahan penggunaan melalui otomatisasi siklus hidup sertifikat, dan memainkan peran kunci dalam memindahkan seluruh web ke HTTPS. Mengakui manfaat-manfaat ini, Google telah menyatakan niatnya untuk merangkul kebijakan sertifikat 90 hari, yang potensial mengatur standar industri baru pada akhir tahun 2024. Namun, pergeseran ini memerlukan bahwa organisasi harus siap untuk perpanjangan sertifikat yang lebih sering, menimbulkan tantangan yang signifikan bagi mereka yang kurang memiliki sistem otomatis atau visibilitas yang jelas terhadap identitas mesin mereka. Meskipun demikian, bagi mereka yang dilengkapi dengan otomatisasi dan pemahaman yang komprehensif tentang kunci dan sertifikat mereka, siklus hidup sertifikat yang lebih pendek ini menawarkan keamanan dan kendali yang lebih tinggi.
Proyek Google Chromium baru-baru ini mengungkapkan dokumen roadmap yang berjudul “Moving Forward, Together,” yang menjabarkan tujuan organisasi untuk mengurangi masa berlaku sertifikat SSL/TLS dari 13 bulan, atau 398 hari, menjadi hanya 90 hari. Sertifikat-sertifikat ini, sebelumnya dikenal sebagai sertifikat SSL, penting untuk mengamankan situs web dan komunikasi online lainnya.
Meskipun Google bersikeras tentang menerapkan masa berlaku sertifikat yang lebih pendek, penting untuk dicatat bahwa regulasi sebenarnya tentang durasi sertifikat berada di bawah wewenang dari Kelompok Otoritas Sertifikat/Penyelarasan Browser (CA/B) Forum, sebuah konsorsium yang terdiri dari pengembang peramban, otoritas sertifikat, dan pemangku kepentingan lainnya. CA/B Forum telah beberapa kali memutuskan untuk memperpendek masa berlaku sertifikat dalam beberapa tahun terakhir, yang didorong utamanya oleh kebutuhan untuk menghalangi upaya penjahat cyber untuk mengkompromikan atau menyalahgunakan sertifikat, yang telah menjadi vektor ancaman yang menguntungkan.
Pengaruh Google dalam domain ini cukup signifikan karena penggunaan luas dari Google Chrome. Perubahan apa pun yang dilakukan dalam Chrome bisa efektif menetapkan standar untuk seluruh industri. Google terbuka untuk bekerja sama, menyarankan bahwa transisi ke durasi 90 hari bisa dilakukan melalui pembaruan kebijakan di masa depan atau sebagai proposal kepada CA/B Forum, mencerminkan strategi serupa yang diterapkan oleh Apple dalam mengurangi masa berlaku sertifikat dari 2 tahun menjadi 1 tahun pada tahun 2020.
Dampak dari transisi ke masa berlaku sertifikat 90 hari diharapkan akan dirasakan terutama oleh organisasi, bukan oleh otoritas sertifikat atau peramban. Dengan durasi yang lebih pendek, organisasi akan diminta untuk memperbarui sertifikat digital mereka lebih sering—empat kali setahun bukan sekali saja. Ini memerlukan identifikasi yang efisien terhadap sertifikat yang akan kedaluwarsa, penerbitan yang baru, dan pencabutan yang akan kedaluwarsa. Tanpa otomatisasi, tugas ini menjadi sulit, terutama mengingat pertumbuhan eksponensial jumlah sertifikat yang digunakan oleh organisasi. Banyak organisasi saat ini kurang memiliki kemampuan otomatisasi untuk menggantikan sertifikat secara besar-besaran dan dengan cepat, yang berpotensi menyebabkan peningkatan gangguan karena kedaluwarsa sertifikat yang tidak terduga. Tantangan ini diperparah oleh proses perpanjangan sertifikat yang rentan terhadap kesalahan manusia, membuat pencegahan gangguan menjadi tugas yang kompleks yang lebih diperparah oleh masa berlaku sertifikat yang lebih pendek.
sumber: https://venafi.com/blog/google-wants-to-reduce-tls-certificate-lifespans-to-90-days-will-you-be-ready/