Pertama, kabar baiknya. Dimulai dengan rilis pertengahan April browser web Chrome 90 Google, Chrome akan secara default mencoba memuat versi situs web yang telah diamankan dengan Transport Layer Security (TLS). Ini adalah situs yang menampilkan kunci gembok di Omnibox Chrome, yang sebagian besar dari kita kenal sebagai bilah alamat (URL) Chrome. Kabar buruknya adalah bahwa hanya karena sebuah situs diamankan oleh HTTPS tidak berarti situs tersebut dapat dipercaya.
Beberapa tahun yang lalu, WordFence, perusahaan keamanan WordPress yang terkenal, menemukan bahwa sertifikat SSL dikeluarkan oleh certificate authorities (CA) ke situs phishing yang berpura-pura menjadi situs lain. Karena sertifikatnya valid, meskipun beroperasi di tempat yang salah, Chrome melaporkan situs ini sebagai situs yang aman.
Tentu saja, CA tidak boleh mengeluarkan sertifikat keamanan palsu. Sayangnya, itu terjadi. Contoh sempurna dari “Mengapa kita tidak dapat memiliki hal-hal yang menyenangkan,” terungkap bahwa Let’s Encrypt, CA gratis, terbuka, dan otomatis, telah digunakan untuk membuat ribuan sertifikat SSL untuk situs phishing secara ilegal menggunakan PayPal, Google, Microsoft, dan Apple sebagai bagian dari nama mereka.
Paul Walsh, pendiri dan CEO perusahaan keamanan zero-trust, MetaCert dan salah satu pendiri Standar Klasifikasi URL World Wide Web Consortium (W3C), melihat banyak masalah lain dengan keyakinan naif kita bahwa HTTPS saja sudah cukup untuk mengamankan koneksi internet kita.
Walsh percaya bahwa apa yang Google lakukan “secara teori hebat, tetapi pelaksanaannya menyebalkan. Menurut saya, tidak etis bagi satu perusahaan yang mewakili satu pemangku kepentingan untuk mengatur apa yang menurut mereka adalah hal yang benar untuk setiap pembuat situs web dan setiap orang yang menggunakan web”.
Selain itu, seperti yang diamati Walsh dalam analisisnya tentang keamanan situs web, “gembok [URL] dasar dirancang untuk memberi tahu pengguna saat sambungan mereka ke situs web dienkripsi. Gembok tidak mewakili apa pun yang terkait dengan kepercayaan atau identitas”.
Selengkapnya: ZDNet
