Sebelum 2017, Situs dan Aplikasi Online Didesak Ubah Standar Keamanan
Situs dan aplikasi online diberi tenggat waktu hingga 1 Januari 2017 untuk mematuhi standar keamanan baru untuk meminimalkan resiko peretasan dan mencegah terjadinya "mini-Y2K," atau akses ke situs mereka diambil.
Sepanjang tahun, browser seperti Google Chrome akan membutuhkan langkah-langkah keamanan yang lebih ketat jika situs ini ingin terus bekerja, atau beresiko terkena masalah kompatibilitas serupa 'mini-Y2K'.
'Mini Y2K' sendiri merujuk pada kebutuhan untuk merubah perangkat lunak lama yang tak bisa mengenali penanggalan millennium-tahun 2000 ke atas.
Google Chrome sudah mengeluarkan peringatan di layar mereka kepada pengguna ketika mereka mengunjungi sebuah situs yang baru memiliki sertifikat SHA-1, menginformasikan kepada pengguna akan adanya "konfigurasi keamanan yang lemah".
Tapi mulai Januari 2017, beberapa browser akan mulai berhenti mendukung sertifikat SHA-1, sehingga pengguna yang mencoba untuk mengakses situs-situs bersertifikat itu akan memicu kesalahan jaringan fatal.
Untuk memproses informasi dengan aman, situs dan aplikasi online menggunakan Algoritma Hash Aman, yang dikenal sebagai ‘SHA’, untuk mengenkripsi dan melindungi data.
Industri ini telah setuju untuk memperbarui versi lama dari algoritma ini, yakni SHA-1, ketika para pakar keamanan online menganggapnya terlalu rentan terhadap serangan.
Situs dan aplikasi sekarang akan diminta untuk menggunakan versi yang lebih baru, yakni SHA-2, yang mengatasi kelemahan keamanan pada SHA-1.
Tetapi beberapa pakar keamanan internet percaya, industri ini kurang siap untuk transisi ke sistem baru.
SHA-1 memungkinkan pemerintah menahan data
Troy Hunt, seorang pakar keamanan independen yang berbasis di Australia, mengatakan, industri ini khawatir bahwa kelemahan keamanan pada SHA-1 bisa dimanfaatkan pemerintah untuk menahan data.
"Kami tahu bahwa ada kelemahan dalam mekanisme lama, yang dari waktu ke waktu menjadi lebih mudah dieksploitasi," sebutnya.
Ia menjelaskan, "Dan apa yang telah kami lihat dalam beberapa tahun terakhir adalah musuh yang cukup canggih, seperti negara dan pemerintah, akan memiliki kemampuan untuk menghasilkan sertifikat ini secara gelap.”
Sementara SHA-2 telah beredar selama lebih dari satu dekade dan telah lama menjadi standar yang diterima, beberapa situs dan aplikasi masih menggunakan SHA-1.
Selama tahun 2016, Microsoft, Google dan vendor browser lainnya akan mulai mencabut dukungan pada sertifikat keamanan SHA-1, dengan batas akhir diharapkan 1 Januari 2017.
Roger Grimes, seorang konsultan keamanan yang berbasis di Florida, dan kolumnis untuk majalah InfoWorld, mengatakan, ia terkejut akan betapa sedikitnya perusahaan yang menyadari transisi yang tengah terjadi ini.
"Saya pikir itu persentase yang sangat kecil dari warga di dunia komputer yang mengerti tentang isu SHA-1, SHA-2 ini. Sangat sedikit aplikasi yang telah diuji dengan SHA-2, meski mereka wajib melakukannya," sebut Roger.
Mulai awal 2016, penolakan benar-benar diterapkan
Roger mengatakan, beberapa orang sudah menyadari adanya perbedaan, dengan sebagian besar perangkat lunak menunjukkan pesan kesalahan mulai tanggal 1 Januari tahun ini ketika sertifikat SHA-1 masih digunakan.
Tapi penolakan nyata baru dimulai pada 1 Januari, 2017, ketika browser seperti Google Chrome benar-benar akan berhenti mendukung sertifikat SHA-1.
"Anda akan mendapatkan gangguan, Anda akan mendapatkan peringatan. Dan beberapa vendor sudah menunjukkan tanda peringatan jika Anda menggunakan sertifikat SHA-1," jelasnya.
Masa tenggang selama 2016 memberi para pemilik situs dan aplikasi waktu untuk mempersiapkannya.
Tapi Roger mengatakan, masih ada banyak pekerjaan yang harus dilakukan.
"Ini sedikit seperti mini-Y2K. Ini akan menjadi sedikit bermasalah, saya tak berpikir ini tak meluas,” tuturnya.
Ia menjelaskan, "Tapi saya pikir, Anda harus membuat orang-orang melihat sistem mereka dan berkata, 'Hei, apakah ini akan menjadi masalah', dan mengatakan ya atau tidak atas dasar per aplikasi.”
"Saya pikir, setiap pelanggan perlu untuk melihat setiap aplikasi kritis yang menggunakan sertifikat digital, dan mencari tahu apakah itu bersertifikat SHA-2 atau tidak," sambungnya.