Apa Itu Sertifikat Digital?

Sertifikat Digital adalah paket data yang mengidentifikasikan sesuatu yang sungguh-sungguh ada secara lengkap, dan dikeluarkan oleh CA hanya setelah orang yang berwewenang telah memeriksa identitas entity. Kita mengenal konsep orang ketiga yang bisa dipercaya yang disebut Certification Authority (CA). CA mengeluarkan sertifikat kunci publik, yang mengikat nama pengguna ke kunci publiknya. Dalam kasus tanda tangan digital, untuk seorang pengguna yang mengidentifikasi pengguna lain oleh miliknya dari kunci pribadi, seseorang pasti memperoleh kunci publik pengguna lain dari sumber yang bisa dipercaya. Ketika bisa menjadi pengguna yang lain, pendekatan ini tidak menimbang dengan baik, karena interaksi yang terpisah dengan pengguna lain masih dibutuhkan. Paket data juga termasuk kunci publik yang dimiliki oleh etinty. Ketika pengirim pesan menandai pesan dengan kunci pribadi, penerima pesan dapat menggunakan kunci publik pengirim (hal ini didapat dari sertifikat yang juga dikirim dengan pesan atau di lain tempat pada jaringan) untuk memeriksa pengirim yang sah. Sertifikat digital diterbitkan oleh otoritas sertifikat (OS). Seseorang atau suatu perusahaan mendapatkan sertifikat digital jika sudah mendaftarkan diri mereka kepada otoritas sertifikat. Otoritas sertifikat tidak hanya menerbitkan sertifikat saja, namun juga memeriksa apakah suatu sertifikat digital masih berlaku atau tidak. Otoritas sertifikat selain memiliki daftar sertifikat digital yang telah diterbitkannya, juga memiliki apa yang disebut dengan daftar sertifikat yang dibatalkan (certificate revocation list). Daftar sertifikat terbatalkan (DSB) itu berisi sertifikat-sertifikat apa saja yang sudah tidak berlaku lagi karena tercuri, hilang atau ada perubahan identitas (misalnya perubahan alamat surat elektronik dan alamat rumah). Setiap kali ada pihak yang ingin memeriksa sertifikat digital, ia dapat menghubungi otoritas sertifikat secara online untuk memastikan bahwa sertifikat yang dibatalkan, tentu otoritas sertifikat akan terbebani dan akan memperlambat proses pemeriksa sertifikat digital yang ingin diuji keabsahannya. Oleh karena itu, dalam sertifikat digital terdapat tanggal kadaluarsa. Sertifikat digital yang sudah melampaui tanggal kadaluarsa akan dihapus dari dalam DSB, karena tidak ada pihak manapun yang akan mau memeriksa sertifikat digital yang sudah kadaluarsa. Otoritas sertifikat juga bisa dibuat secara hirarkis. Misalnya perusahaan Anda memiliki 1000 pegawai yang tersebar di 27 propinsi. Jika setiap pegawai harus mengurus sertifikat digitalnya sendiri-sendiri, tentu ini akan sangat merepotkan pegawai itu. Tentu lebih baik kalau sistem administrator perusahaan Anda membuatkan sertifikat bagi para pegawai.Dalam kasus ini, sistem administrator bertindak sebagai otoritas sertifikat. Nah, sebuah otoritas sertifikat publik di luar perusahaan, sebelumnya akan memberikan izin kepada sistem administrator Anda untuk menjadi otoritas sertifikat. Dengan demikian, sebenarnya secara tidak langsung, sertifikat digital setiap pegawai Anda sitandatangani oleh otoritas sertifikat publik. Otoritas sertifikat publik yang memberikan izin kepada pihak lain untuk menjadi otoritas sertifikat sering disebut otoritas sertifikat utama (root certificate authority).

Pada sistem perdagangan di Internet yang menggunakan sertifikat digital, bagian rentan adalah keabsahan sertifikat milik otoritas sertifikat utama yang didistribusikan kepada konsumen. Oleh karen itu umumnya sertifikat digital milik OS utama (yang berisi kunci publik OS utama) dijadikan bagian yang integral dalam program aplilkasi. Kalau diperhatikan lebih jeli lagi, sebenarnya yang penting adalah bagaimana pihak pengembang perangkat lunak bisa mendapatkan sertifikat digital milik OS utama yang terjamin keaslianya. VeriSign, sebuah otoritas sertifikat publik yang didirikan pada bulan Mei 1995, menyediakan sertifikat digital untuk produk-produk terkenal dari Netscape dan Microsoft. Visa juga telah memilih VeriSign sebagai otoritas sertifikat yang dipergunakannya dalam implementasi protokol Secure Electronic Transaction (SET) yang dirancang oleh Visa Dan MasterCard. Namun pihak MasterCard dan American Express memilih GTE CyberTrust sebagai otoritas sertifikat yang dipercaya. GTE memang memiliki pengalaman 10 tahun dalam membuat sertifikat digital untuk pemerintah federal Amerika Serikat. Berbeda dengan GTE, VeriSign lebih mengkonsentrasikan dirinya pada pemberian sertifikat digital untuk individu atau badan usaha umum. Sertifikat yang ditandai oleh CA adalah sertifikat yang dibuktikan dengan memeriksa tanda tangannya dan menggunakan kunci publik CA. Dengan catatan, bahwa CA sekarang hanyalah sumber yang digunakan oleh pengguna untuk memeriksa sertifikat yang dibutuhkan untuk dipercaya. CA harus dipercaya untuk berhubungan secara benar nama pengguna dan kunci publik yang digunakan dalam sertifikat yang nantinya dikeluarkan. Sertifikat yang dikeluarkan oleh CA mungkin dikirim pada suatu tempat yang online untuk mendapatkan kembali pengguna lain. Sertifikat mungkin juga dikirim bersama-sama dengan pesan e-mail yang aman.