Dunia keamanan siber sedang bersiap menghadapi perubahan besar. Baru-baru ini, Sectigo, salah satu otoritas sertifikat (CA) terbesar di dunia, merilis pernyataan mengenai rencana pemangkasan masa aktif sertifikat SSL/TLS dari 398 hari menjadi hanya 200 hari.
Mengapa ini terjadi dan apa risikonya bagi pemilik website di Indonesia? Mari kita bedah tuntas.
1. Apa yang Berubah?
Saat ini, sertifikat SSL/TLS publik (yang membuat website menjadi https) memiliki masa berlaku maksimal 398 hari (sekitar 13 bulan).
Mulai 15 Maret 2026, batas ini akan dipangkas menjadi 200 hari (sekitar 6 bulan). Ini adalah tahap pertama dari rencana jangka panjang industri untuk memperpendek umur sertifikat hingga hanya 47 hari pada tahun 2029.
Mengapa Harus 200 Hari?
Langkah ini bukan tanpa alasan. Google sebelumnya telah mengusulkan transisi menuju masa aktif sertifikat yang lebih pendek (90 hari) dalam forum CA/Browser. Sectigo mengambil langkah menengah di angka 200 hari dengan alasan:
- Keamanan yang Lebih Responsif: Jika terjadi kebocoran kunci atau kerentanan pada algoritma enkripsi, sertifikat akan kedaluwarsa lebih cepat, sehingga risiko eksploitasi berkurang.
- Agility (Kelincahan) Sertifikat: Memaksa pengelola IT untuk selalu memperbarui teknologi enkripsi terbaru secara rutin.
- Standar Baru Industri: Meski belum menjadi aturan wajib secara global, para pemain besar sedang bergerak menuju siklus hidup sertifikat yang “lebih pendek dan lebih aman.”
2. Risiko Utama: “The Expiration Trap”
Dalam blog resminya, Sectigo menyoroti satu risiko utama: Human Error. Semakin pendek masa aktif, semakin sering Anda harus melakukan pembaruan. Jika masih menggunakan cara manual, risikonya adalah:
- Website Down: Sertifikat yang lupa diperbarui akan memunculkan peringatan “Your connection is not private” yang mengusir pengunjung.
- Kerusakan Reputasi: Pengguna kehilangan kepercayaan jika melihat sertifikat keamanan yang kedaluwarsa.
- Beban Operasional: Tim IT akan menghabiskan lebih banyak waktu hanya untuk administrasi SSL jika tidak ada sistem otomatisasi.
Tabel Perbandingan: Dulu vs Sekarang
| Fitur | Standar Lama | Standar Baru (Usulan) |
| Masa Aktif Maksimal | 398 Hari (~13 Bulan) | 200 Hari (~6.5 Bulan) |
| Frekuensi Pembaruan | 1x Setahun | 2x Setahun |
| Metode Kerja | Masih bisa manual | Wajib Otomatisasi (ACME) |
3. Apa yang Harus Anda Lakukan Sekarang?
Jangan panik, tapi mulailah bersiap. Berikut adalah langkah mitigasi yang disarankan:
- Audit Inventaris SSL : Cek kembali berapa banyak sertifikat SSL yang Anda miliki. Semakin banyak sertifikat, semakin tinggi risiko ada yang terlewat jika masa aktifnya diperpendek.
- Implementasikan Otomatisasi (ACME) : Ini adalah kunci. Gunakan protokol ACME (Automated Certificate Management Environment) untuk memperbarui sertifikat secara otomatis tanpa campur tangan manusia.
- Pilih Provider yang Adaptif : Pastikan penyedia layanan hosting atau SSL Anda sudah siap mendukung perubahan kebijakan dari CA seperti Sectigo ini.
4. Kebijakan ini tidak berlaku surut (retroactive)
Kabar baiknya: sertifikat lama Anda tidak akan langsung kedaluwarsa secara mendadak.
Kebijakan ini tidak berlaku surut (retroactive). Artinya, sertifikat yang diterbitkan sebelum tanggal perubahan aturan akan tetap dianggap valid oleh browser hingga masa berlakunya habis secara alami sesuai kontrak awal.
Berikut adalah rincian mekanismenya agar Anda tidak panik:
1. Prinsip “Grandfathering”
Dalam industri SSL, berlaku prinsip grandfathering. Sertifikat yang sudah aktif sebelum aturan baru berlaku akan tetap diakui oleh Google Chrome, Safari, dan Firefox.
- Contoh: Jika Anda menerbitkan sertifikat 398 hari pada 1 Januari 2026, sertifikat tersebut akan tetap valid sampai Januari 2027, meskipun aturan 200 hari sudah dimulai pada Maret 2026.
2. Kapan Aturan Ini Mulai “Menggigit”?
Aturan ini hanya berlaku untuk penerbitan baru (new), pembaruan (renewal), dan penerbitan ulang (re-issue) yang dilakukan pada atau setelah tanggal efektif (15 Maret 2026).
3. Risiko Tersembunyi: Re-issue
Ada satu jebakan yang perlu diwaspadai. Jika Anda memiliki sertifikat lama (misalnya sisa masa berlaku 300 hari) dan Anda harus melakukan re-issue (karena ganti server atau kehilangan private key) setelah Maret 2026, maka:
- Sertifikat baru hasil re-issue tersebut kemungkinan besar akan dipangkas masa berlakunya menjadi maksimal 200 hari.
- Anda mungkin akan kehilangan sisa hari yang sudah dibayar jika sistem CA (Certificate Authority) tidak bisa mengompensasinya.
Perbandingan Skenario
| Kondisi Sertifikat | Status Setelah 15 Maret 2026 |
| Diterbitkan Jan 2026 (Masa berlaku 1 tahun) | Tetap Valid hingga habis masa berlakunya. |
| Renew/Perpanjang April 2026 | Wajib maksimal 200 hari. |
| Re-issue Mei 2026 (Dari sertifikat lama) | Wajib mengikuti batas 200 hari. |
Anda tidak perlu mengganti semua sertifikat secara serentak pada Maret 2026. Namun, Anda harus siap bahwa setiap kali ada sertifikat yang habis setelah tanggal tersebut, siklus kerja Anda akan menjadi lebih sering (dari setahun sekali menjadi setengah tahun sekali).
Sumber: Sectigo Blog – 200-Day SSL Certificate Expiration Risk