DevOps

Kenapa Sertifikat SSL Lo Sekarang Cuma 6 Bulan?

Asep Alazhari

SSL certificate cuma 6 bulan sekarang? Ini bukan error — aturan baru CA/B Forum berlaku Maret 2026. Solusi terbaik buat pengguna Sectigo atau DigiCert.

Kenapa Sertifikat SSL Lo Sekarang Cuma 6 Bulan?

Minggu kemarin gue perpanjang SSL certificate buat salah satu domain. Pakai Sectigo, tier berbayar, sama kayak biasanya. Tapi pas ngeliat tanggal expired-nya, ada yang aneh. Cuma sampai September — sekitar 6 bulan dari sekarang. Bukan 12 bulan. Bukan 13 bulan. Sekitar 200 hari doang.

Gue pikir salah pilih plan. Gue cek lagi, hitung ulang tanggalnya, terus searching. Ternyata nggak ada yang salah. Industri SSL diam-diam udah ganti aturan, dan kebanyakan orang yang manage domain sendiri belum tahu.

Artikel ini ngejelasin apa yang berubah, kenapa berubah, dan yang paling penting: apa yang harus lo lakuin sekarang — terutama kalau lo pakai CA berbayar kayak Sectigo atau DigiCert.

Apa yang Baru Aja Berubah

Mulai Maret 2026, masa berlaku maksimal untuk TLS certificate yang dipercaya publik adalah 200 hari. Turun dari batas sebelumnya yaitu 397 hari (sekitar 13 bulan), yang udah berlaku sejak September 2020.

Perubahan ini berasal dari Ballot SC-081, yang disahkan oleh CA/Browser Forum di awal 2025. CA/B Forum itu badan industri yang ngatur aturan buat certificate authority (CA) kayak Sectigo, DigiCert, GlobalSign, dan lainnya. Browser besar — Chrome, Firefox, Safari, Edge — semuanya bergantung pada forum ini buat nentuin certificate mana yang mereka percaya.

Jadwal lengkapnya begini:

  • Maret 2026: masa berlaku maks jadi 200 hari
  • Maret 2027: masa berlaku maks jadi 100 hari
  • Maret 2029: masa berlaku maks jadi 47 hari

Angka 47 hari itu awalnya diusulkan sama Apple. Google dukung pendekatan serupa ke arah 90 hari. Tekanan gabungan dari vendor browser akhirnya menggerakkan seluruh industri.

Kenapa Ini Dilakuin

Jawaban singkatnya: keamanan. Jawaban panjangnya melibatkan beberapa faktor yang udah menumpuk selama bertahun-tahun.

Sertifikat yang Dicuri Bisa Dipakai Terlalu Lama

Kalau sebuah SSL certificate dikompromikan — baik lewat kebocoran CA, private key yang bocor, atau misconfiguration — satu-satunya solusi nyata adalah revokasi. Tapi revokasi certificate itu selalu nggak bisa diandalkan sepenuhnya. OCSP stapling membantu, tapi banyak client yang masih nggak ngecek revokasi dengan benar.

Certificate yang valid selama setahun penuh artinya cert yang dicuri bisa disalahgunakan sampai 12 bulan kalau revokasi nggak menjangkau semua client. Memperpendek masa berlaku membatasi dampak dari setiap kompromi.

Validasi Kepemilikan Domain Bisa Basi

Pas CA menerbitkan certificate, mereka memvalidasi bahwa lo beneran ngontrol domain tersebut. Tapi bukti itu punya jendela kadaluarsa sendiri. Di aturan lama, CA bisa menggunakan ulang hasil validasi domain sampai 825 hari. Artinya “bukti kepemilikan” di balik certificate lo bisa umurnya hampir 2 tahun.

Masa berlaku certificate yang lebih pendek memaksa revalidasi lebih sering, bikin rantai kepercayaan lebih segar dan lebih susah dipalsukan.

Mendorong Industri ke Arah Otomasi

Ini mungkin alasan terbesarnya. Regulator dan vendor browser udah lama ngamatin Let’s Encrypt yang diam-diam membuktikan bahwa certificate 90 hari bisa jalan dengan sempurna dalam skala besar — karena semuanya otomatis. Nggak ada renewal manual, nggak ada pengingat kalender, nggak ada tanggal expired yang terlupakan.

Masa berlaku certificate yang pendek adalah tekanan yang disengaja supaya industri ninggalin workflow renewal manual. Ekspektasinya adalah kalau lo masih renewal manual, jendela yang makin pendek ini akhirnya akan memaksa lo untuk otomasi.

Dampak Praktis buat Pengguna Sectigo dan DigiCert

Kalau lo pakai Let’s Encrypt, lo mungkin nggak ngeh sama perubahan ini. Certbot dan tools serupa handle renewal otomatis setiap 60-90 hari. Lo setup sekali terus lupain.

Sectigo dan DigiCert itu beda. Ini adalah CA komersial, dan workflow tradisionalnya dibangun di sekitar pembelian manual, download manual, dan instalasi manual. Workflow itu dirancang buat certificate 1 tahun atau 2 tahun. Sekarang harus jalan dua kali lebih sering per tahun.

Ini artinya dalam praktik:

  • Lo sekarang perlu renewal 2x setahun, bukan sekali
  • Setiap renewal butuh pembelian, download, dan deploy certificate baru
  • Kalau lo punya banyak domain atau subdomain, kelipatannya makin besar
  • Missed renewal tetap menyebabkan error HTTPS dan peringatan browser yang sama

Best Practice buat Ngatur Ini

Lo punya beberapa pilihan tergantung seberapa banyak infrastruktur yang lo kelola dan seberapa banyak waktu yang lo mau habiskan.

Opsi 1: Set Kalender Reminder (Paling Minimal)

Ini pendekatan paling simpel kalau lo manage satu atau dua domain. Set dua kalender reminder — satu 30 hari sebelum expired dan satu lagi 14 hari sebelum expired. Saat reminder pertama bunyi, mulai proses renewal lewat registrar atau hosting panel lo.

Dengan certificate 200 hari, lo bakal lihat siklus reminder ini dua kali setahun. Nggak elegan, tapi jalan.

Masalahnya adalah pendekatan ini nggak scalable. Kalau lo manage 10 domain, lo sekarang punya 20 event kalender per tahun cuma buat SSL. Bisa kacau banget.

Opsi 2: Pakai Uptime Monitoring dengan SSL Check

Pendekatan yang lebih baik adalah berhenti mengandalkan kalender reminder dan mulai monitor certificate lo sama kayak lo monitor service lo. Tools kayak Uptime Kuma, Checkly, atau Better Uptime bisa kasih alert waktu certificate udah dalam jarak tertentu dari expired.

Also Read: Uptime Kuma: Monitor Website dan Alert ke Telegram

Set alert threshold ke 30 hari. Itu ngasih lo jendela yang nyaman buat renewal sebelum ada yang rusak, dan lo dapat alert berdasarkan kondisi certificate yang sebenarnya — bukan tanggal yang lo tebak di kalender.

Opsi 3: Pakai ACME dengan CA Berbayar Lo

Nah, ini bagian yang menarik buat pengguna CA komersial. Baik Sectigo maupun DigiCert mendukung protokol ACME — protokol yang sama yang dipakai Let’s Encrypt buat penerbitan otomatis.

ACME memungkinkan lo mengotomasi seluruh lifecycle certificate: validasi, penerbitan, instalasi, dan renewal. Lo konfigurasi server sekali, dan client yang ngurus semuanya.

Buat pakai ACME dengan Sectigo, lo butuh akun di endpoint ACME mereka. Sectigo menyediakannya lewat platform Sectigo Certificate Manager (SCM) mereka, yang biasanya tersedia lewat perjanjian enterprise atau reseller.

Buat DigiCert, platform CertCentral juga menawarkan dukungan ACME. Lo generate URL ACME yang spesifik ke akun lo, dan client kayak Certbot atau acme.sh bisa diarahkan ke URL itu sebagai ganti endpoint Let’s Encrypt.

Ini contoh pakai acme.sh dengan custom ACME server:

# Daftar ke endpoint ACME CA lo
acme.sh --register-account \
  --server https://acme.sectigo.com/v2/OV \
  -m [email protected]

# Issue certificate
acme.sh --issue \
  --server https://acme.sectigo.com/v2/OV \
  -d domainlo.com \
  --webroot /var/www/html

# Auto-install dan auto-renew ditangani oleh cron job acme.sh

URL ACME yang tepat bervariasi berdasarkan tipe certificate (DV, OV, EV) dan tier akun lo. Cek dokumentasi CA lo buat endpoint yang tepat.

Opsi 4: Sentralisasi dengan Certificate Manager

Kalau lo manage certificate di beberapa server, solusi jangka panjang yang tepat adalah platform certificate management. Tools kayak:

  • Cert-manager (buat environment Kubernetes)
  • Caddy (built-in automatic HTTPS buat web server)
  • Traefik (proxy dengan manajemen certificate otomatis)
  • DigiCert CertCentral dengan integrasi API

Tools ini mengabstraksikan siklus renewal sepenuhnya. Lo mendefinisikan desired state — “domain ini harus punya certificate yang valid” — dan tools yang menjaganya.

Also Read: Cara Kurangin Penggunaan CPU Server Sampai 60% dengan Nginx Caching

Buat tim yang udah running Nginx atau Apache dengan deployment certificate manual, beralih ke Caddy atau Traefik sebagai reverse proxy sering jadi jalur paling mudah ke otomasi penuh.

Otomasi Langkah Deployment

Satu hal yang mengejutkan banyak orang adalah meski lo otomasi penerbitan certificate, langkah deployment masih bisa manual. Menaruh certificate baru ke server lo, update konfigurasi Nginx atau Apache, dan reload service adalah masalah terpisah.

Ini post-renewal hook dasar yang bisa lo tambahkan ke acme.sh:

# Buat deploy hook di ~/.acme.sh/deploy/nginx_reload.sh
#!/bin/bash
cp "$CERT_PATH" /etc/nginx/ssl/domainlo.crt
cp "$KEY_PATH" /etc/nginx/ssl/domainlo.key
nginx -s reload
echo "Certificate di-deploy dan Nginx di-reload"

Terus referensiin di konfigurasi acme.sh lo:

acme.sh --deploy \
  -d domainlo.com \
  --deploy-hook nginx_reload

Pasangkan ini dengan cron job dan lo punya pipeline yang sepenuhnya otomatis dari penerbitan sampai deployment.

Gimana dengan Sertifikat EV dan OV?

Certificate Extended Validation (EV) dan Organization Validated (OV) terkena timeline yang sama, tapi ada nuansanya. Jalur otomasi ACME umumnya lebih mudah buat certificate DV (Domain Validated), yang cuma butuh bukti kontrol domain.

Certificate OV dan EV butuh verifikasi tambahan dari detail organisasi lo. Proses verifikasi ini nggak cocok buat otomasi penuh dengan cara yang sama. Tapi begitu organisasi lo sudah di-pre-vet dalam sistem CA, renewal bisa tetap disederhanakan secara signifikan.

Baik Sectigo maupun DigiCert menawarkan program pre-vetting organisasi. Kalau lo secara rutin memperbarui certificate OV atau EV, worth banget buat menghubungi account rep CA lo untuk memahami opsi otomasi yang tersedia.

Timeline ke Depan

Buat gambaran jelas tentang apa yang akan datang:

  • Kalau lo renewal sekarang (Maret 2026), lo dapat certificate 200 hari.
  • Maret 2027, itu turun ke 100 hari — sekitar renewal kuartalan.
  • 2029, targetnya 47 hari — artinya renewal otomatis penuh bukan lagi opsional, tapi wajib untuk operasi yang praktis.

Industri menuju dunia di mana otomasi certificate adalah asumsi baseline, bukan nice-to-have. Pasar CA komersial akan beradaptasi — baik Sectigo maupun DigiCert punya dukungan ACME dan terus mengembangkannya. Tapi tooling dan pengetahuannya harus mengejar di sisi ops juga.

Kesimpulan

Singkatnya: SSL certificate lo sekarang cuma 6 bulan karena CA/B Forum menurunkan masa berlaku maksimal ke 200 hari efektif Maret 2026. Ini adalah langkah pertama dalam rencana multi-tahun untuk mencapai certificate 47 hari pada 2029.

Buat pengguna Sectigo dan DigiCert, tindakan terbaik langsung sekarang adalah setup monitoring expired supaya lo nggak pernah ketinggalan renewal. Tindakan terbaik jangka panjang adalah evaluasi opsi otomasi ACME yang disediakan CA lo dan mulai beralih dari workflow renewal manual.

Perubahannya nggak bisa dihindari, tapi sakit kepalanya bisa.

Share:
Back to Blog

Related Posts

View All Posts »