Ada banyak orang yang merasa bahwa sistem ini rusak.
Inilah logika di balik mengapa browser Anda akan memberi Anda peringatan yang mengkhawatirkan saat sertifikat SSL tidak valid:
Salah satu tujuan desain asli dari infrastruktur SSL adalah untuk menyediakan otentikasi server web. Pada dasarnya, jika Anda mengunjungi www.bank.com, SSL memungkinkan server web yang merespons untuk membuktikan bahwa server itu milik bank Anda. Ini menghentikan penipu dari memanipulasi DNS atau menggunakan metode lain untuk memiliki tanggapan server jahat.
"Kepercayaan" dalam SSL disediakan dengan meminta pihak ketiga yang tepercaya (perusahaan seperti VeriSign dan Thawte Consulting) menandatangani sertifikat, yang menunjukkan bahwa mereka telah memverifikasi bahwa itu milik siapa yang dikatakannya (secara teori dengan mengunjungi administrator TI di orang atau metode lain yang menciptakan kepercayaan langsung, meskipun bukti menunjukkan bahwa mereka sebenarnya agak longgar tentang hal itu - semua yang diperlukan untuk mendapatkan sertifikat SSL yang ditandatangani seringkali merupakan angka 800 dan sedikit keterampilan akting).
Jadi, jika Anda terhubung ke server web yang menyediakan sertifikat SSL, tetapi tidak ditandatangani oleh pihak ketiga yang tepercaya, secara teori ini bisa berarti bahwa Anda berkomunikasi dengan penipu yang berpura-pura menjadi server milik organisasi yang berbeda .
Dalam praktiknya, sertifikat yang ditandatangani sendiri umumnya hanya berarti bahwa organisasi yang menjalankan server memilih untuk tidak membayar sertifikat yang ditandatangani (mereka bisa sangat mahal, tergantung pada fitur yang Anda inginkan), atau tidak memiliki keahlian teknis untuk mengonfigurasinya ( beberapa solusi bisnis kecil menawarkan mekanisme satu klik untuk sertifikat yang ditandatangani sendiri, tetapi mendapatkan sertifikat tepercaya membutuhkan lebih banyak langkah teknis).
Saya pribadi percaya bahwa sistem ini rusak, dan bahwa berkomunikasi dengan server yang tidak menawarkan enkripsi jauh lebih berbahaya daripada berkomunikasi dengan server yang menawarkan SSL dengan sertifikat yang ditandatangani sendiri. ada tiga alasan mengapa browser tidak bertindak seperti ini:
- Komunikasi yang tidak terenkripsi adalah norma di internet, jadi jika browser membuat Anda mengklik peringatan untuk melihat situs web yang tidak menawarkan enkripsi, Anda akan dengan cepat merasa terganggu dan menonaktifkan peringatan itu.
- Karena peringatan yang mengerikan kepada klien, tidak wajar melihat sertifikat yang ditandatangani sendiri di situs web produksi. Ini menetapkan sistem yang berkelanjutan: sertifikat yang ditandatangani sendiri mencurigakan karena jarang terjadi, jarang terjadi karena mencurigakan.
- Ini terdengar sinis dari saya, tetapi ada perusahaan yang berdiri untuk menghasilkan banyak uang dari menandatangani sertifikat SSL ( batuk Verisign batuk ), sehingga mereka menggunakan whitepapers (istilah IT yang berarti "iklan lama dan membosankan") dan publikasi lainnya untuk menegakkan gagasan bahwa sertifikat yang tidak ditandatangani berbahaya.