Pada Agustus 2024, Apple membuat usulan (CA/Browser Forum Ballot SC-081v3) untuk mempersingkat masa berlaku sertifikat SSL/TLS secara drastis. Usulan ini didukung oleh berbagai certificate authority dan pembuat web browser ternama. Setelah berbulan-bulan diskusi, usulan ini kini resmi diberlakukan. CA/Browser Forum secara bulat memutuskan untuk memangkas masa berlaku sertifikat dari 398 hari menjadi 47 hari pada tahun 2029, dengan perubahan signifikan yang mulai berlaku pada Maret 2026.
Poin penting dalam pengumuman ini
Perubahan ini bertujuan untuk memperkuat sistem WebPKI dengan secara signifikan mengurangi masa berlaku semua sertifikat yang diterbitkan oleh certificate authority publik dan mendorong adopsi automasi dalam manajemen sertifikat.
Mulai bulan Maret 2026, organisasi perlu mengadopsi sertifikat dengan masa yang singkat ini sebagai bagian dari workflow mereka. Tak hanya masa berlaku sertifikat yang berkurang, periode penggunaan kembali domain control validation (DCV) juga akan berkurang, dari 398 hari ke 10 hari pada 2029.
Inilah penjelasan singkat dari perubahan dan timeline yang berlaku:
Masa berlaku maksimum sertifikat
Periode reuse DCV
Tanggal efektif
398 hari
398 hari
Saat ini (Berlaku sampai 14 Maret 2026)
200 hari
200 hari
15 Maret 2026
100 hari
100 hari
15 Maret 2027
47 hari
10 hari
15 Maret 2029
Timeline Masa Berlaku Maksimum SSL/TLS Certificate
Signifikansi pengumuman ini
Meskipun perubahan ini tampak drastis, sebenarnya hal ini sudah lama direncanakan. Google telah mengusulkan masa berlaku sertifikat 90 hari sejak tahun 2023. Proposal dari Apple sebenarnya hanya membawa perubahan ini sedikit lebih jauh dengan mengurangi masa berlakunya. Intinya, organisasi perlu memahami perubahan yang terjadi dan segera menyiapkan langkah selanjutnya.
Bersiap untuk renewal berkala
Karena masa berlaku sertifikat semakin singkat, maka organisasi perlu lebih sering melakukan pembaruan atau renewal. Mulai 15 Maret 2026, organisasi harus siap untuk memperbarui sertifikat mereka minimal dua kali dalam setahun. Proses ini akan menjadi semakin menantang seiring waktu. Sebagai gambaran, pada 15 Maret 2029, organisasi harus memperbarui sertifikat mereka minimal delapan kali dalam setahun.
Timeline
Jumlah minimal renewal yang harus dilakukan per tahun
Sampai Maret 2026
~ Sekali
Dari 15 Maret 2026
~ Dua kali
15 Maret 2027
~ Empat kali
15 Maret 2029
~ Delapan kali
Memanfaatkan otomatisasi
Bersama dengan perubahan ini, periode penggunaan ulang DCV juga akan dipersingkat menjadi hanya sekitar 10 hari pada 15 Maret 2029. Ini berarti organisasi harus melalui proses validasi domain atau IP address mereka secara penuh dengan lebih sering. Oleh karena itu, otomatisasi menjadi semakin penting untuk mengelola sertifikat secara efisien dan menghindari downtime.
Tidak ada perubahan biaya
Meskipun frekuensi renewal akan meningkat, biaya sertifikat akan tetap sama. Beberapa certificate authority menawarkan perlindungan sertifikat untuk setahun atau beberapa tahun sekaligus, dengan pembaruan (re-issue) tanpa biaya tambahan. Artinya, Anda hanya membayar untuk periode cakupan layanan.
Timeline Proposal dan Voting Masa Berlaku SSL/TLS
Mengapa masa berlaku sertifikat semakin singkat?
Jika Anda bertanya-tanya, hal ini dilakukan untuk memastikan WebPKI tetap aman dan mendorong penggunaan otomatisasi sehingga proses menjadi lebih efisien dan mulus.
Keamanan yang lebih baik
Alasan utama perubahan ini adalah untuk meningkatkan keamanan online dengan mempersempit celah waktu bagi pelaku ancaman untuk mengeksploitasi sertifikat atau private key yang telah bocor. Masa berlaku sertifikat yang lebih singkat membatasi waktu private key yang bocor dapat disalahgunakan, seperti pada serangan man-in-the-middle, sehingga mengurangi potensi kerugian.
Adopsi best practice
Untuk bisa beradaptasi dengan norma baru, organisasi perlu menerapkan certificate management otomatis dalam bentuk ACME guna mengurangi kesalahan manusia dan meminimalkan downtime. Perubahan ini tak hanya membuat pekerjaan lebih mudah dilakukan, tetapi juga membentuk kebiasaan penerapan best practice certificate management dalam skala besar.
Minimalisir ketergantungan pada sistem pencabutan sertifikat
Cara lama untuk memeriksa apakah sertifikat sudah dicabut memiliki banyak kelemahan, seperti keterlambatan update daftar pencabutan sertifikat atau respons OCSP, aturan yang tidak selalu konsisten (kadang sistem tetap menerima sertifikat walaupun pemeriksaan gagal), dan masalah jaringan yang menghalangi akses ke server pencabutan. Dengan masa berlaku lebih singkat, tidak perlu lagi mengandalkan sistem pencabutan ini dan tetap punya cadangan yang lebih aman.
Validasi ulang yang lebih sering
CA/B Forum berpendapat bahwa informasi dalam sertifikat akan menjadi kurang akurat seiring waktu, sehingga validasi ulang perlu dilakukan secara berkala. Dengan memangkas umur sertifikat maksimal menjadi 47 hari, mau tidak mau pemilik sertifikat harus lebih sering melewati proses validiasi ini. Hasilnya, pihak yang memercayai sertifikat akan lebih yakin bahwa domain tersebut benar-benar masih dikelola oleh pihak yang mengeluarkannya.
Mencapai crypto agility
Mengelola sertifikat secara manual akan segera ketinggalan zaman karena pembaruannya akan semakin sering. Jika organisasi sudah punya sistem otomatis dan ini jadi praktik umum, mereka bisa lebih cepat merespons risiko cryptographic di masa depan. Crypto agility akan memastikan proses ganti algoritma, rotasi key, dan pengelolaan sertifikat menjadi lebih cepat dan tanpa ribet—hal yang sangat penting di era pasca-quantum nanti.
Dampak masa berlaku sertifikat yang lebih singkat
Perubahan ini akan membawa dampak signifikan bagi organisasi, terutama bagi mereka yang masih mengandalkan praktik certificate management secara manual.
Peningkatan beban kerja
Tim IT, security, public key infrastructure (PKI), DevOps, dan aplikasi, serta tim lainnya yang menangani sertifikat, akan mengalami peningkatan beban kerja.
Gangguan tidak terduga
Organisasi dengan banyak website dan sistem publik yang mengandalkan TLS certificate bisa saja mengalami gangguan layanan yang tidak terduga.
Implikasi dalam change management
Proses change management yang saat ini berlaku untuk pembaruan sertifikat perlu disesuaikan kembali guna beradaptasi dengan volume dan frekuensi renewal yang semakin banyak.
Menyiapkan diri untuk masa berlaku sertifikat 47 hari
Pengurangan masa berlaku TLS certificate menjadi 47 hari pada 2029 membawa perubahan yang signifikan. Organisasi perlu memulai persiapan sejak dini, membuat perencanaan dan strategi automasi yang matang untuk menangani perubahan ini dengan efektif.
01. Mulai merancang kebijakan
Menetapkan kebijakan yang jelas adalah tahap pertama. Tanpa kejelasan internal, semua perubahan teknologi yang diterapkan bisa menjadi kekacauan. Dengan mengambil alih sepenuhnya tata kelola sertifikat digital dan siklus hidupnya dengan benar, Anda dapat menetapkan peran dan tanggung jawab dengan tepat di dalam organisasi.
02. Audit lingkungan Anda
Tanpa mengetahui semua TLS/SSL certificate yang digunakan di organisasi, melalui perubahan masa berlaku sertifikat ini akan sulit. Oleh karena itu, mulailah mengaudit lingkungan Anda, catat setiap sertifikat di perusahaan, dan kelola semuanya dari repositori sertifikat terpusat.
03. Alert dan monitoring
Atur monitoring real-time untuk mengecek masa kedaluwarsa sertifikat dan memastikan alert sudah terpasang. Hal ini sama pentingnya dengan memiliki inventaris sertifikat.
04. Terapkan otomatisasi
Meskipun dua kali renewal dalam setahun baru akan diterapkan Maret 2026, Anda perlu menyiapkan otomatisasi mulai dari sekarang. Sebab, perubahan ini bisa meningkatkan risiko gangguan layanan dan beban administrasi. Persiapkan diri dengan mengadopsi solusi certificate life cycle management. Solusi ini mengotomatiskan setiap tahap pengelolaan PKI, mulai dari pencarian dan penerbitan hingga pembaruan dan provisioning.
05. Manfaatkan protokol ACME
Meski masih ada kekurangan, protokol Automated Certificate Management Environment (ACME) memungkinkan manajemen sertifikat secara otomatis. Implementasikan protokol ACME untuk memperlancar proses penerbitan dan pembaruan sertifikat dari berbagai otoritas.
06. Integrasikan dengan ekosistem Anda
Kembangkan otomatisasi lebih jauh dengan mengintegrasikan manajemen sertifikat ke dalam pipeline DevOps agar sertifikat dapat dikelola secara efisien sebagai bagian dari proses pengembangan dan penerapan software.
07. Libatkan semua pihak
Libatkan semua departemen penting dalam memenuhi regulasi baru ini. Kolaborasi dari tim IT, security, DevOps, PKI, aplikasi, dan tim lainnya sangat penting. Edukasi seluruh personel mengenai pentingnya perubahan ini agar proses transisi berjalan lancar.
Lakukan perubahan dengan mulus bersama Key Manager Plus
Perubahan bisa merepotkan. Namun, kami memastikan Anda tidak perlu merasakannya. ManageEngine Key Manager Plus memungkinkan automasi life cycle sertifikat secara menyeluruh dan end-to-end dengan fungsi discovery, renewal, dan deployment. Selain itu, Key Manager Plus juga terintegrasi dengan semua certificate authority publik ternama, sehingga Anda bisa mulai secara langsung. Lalu, untuk kebutuhan internal, Anda juga bisa membuat certificate authority privat untuk menerbitkan dan mengelola sertifikat internal Anda. Apa pun kebutuhannya, kami siap membantu menangani semua skenario penggunaan sertifikat Anda.