Apa Itu Rantai Sertifikat SSL? Cara Kerjanya
Apa Itu Rantai Sertifikat SSL?
Rantai sertifikat SSL (disebut juga rantai kepercayaan atau jalur sertifikasi) adalah daftar terurut sertifikat digital yang menghubungkan sertifikat SSL/TLS website Anda ke Otoritas Sertifikat (CA) root terpercaya. Setiap sertifikat dalam rantai ditandatangani secara digital oleh sertifikat di atasnya, menciptakan jalur kepercayaan yang dapat diverifikasi dari server Anda hingga CA root yang sudah dipercaya browser.
Bayangkan ini seperti rantai rekomendasi. Sertifikat server Anda berkata "Saya adalah example.com." CA intermediate berkata "Saya menjamin sertifikat example.com." CA root berkata "Saya menjamin intermediate tersebut." Browser Anda sudah mempercayai CA root, jadi dengan mengikuti rantai tanda tangan, browser juga mempercayai server Anda.
Saat Anda mengunjungi website HTTPS manapun, browser Anda secara diam-diam menelusuri rantai ini dalam hitungan milidetik. Jika setiap tautan valid, Anda melihat ikon gembok. Jika ada tautan yang hilang, kedaluwarsa, atau tidak valid, Anda mendapat peringatan keamanan.
Tiga Tautan dalam Setiap Rantai Sertifikat
Sebagian besar rantai sertifikat SSL memiliki tepat tiga level. Memahami masing-masing sangat penting untuk troubleshooting masalah HTTPS.
| Sertifikat Root | Sertifikat Intermediate | Sertifikat Leaf (Server) | |
|---|---|---|---|
| Ditandatangani oleh | Dirinya sendiri (self-signed) | CA Root | CA Intermediate |
| Lokasi | Trust store browser/OS | Dikirim oleh server | Dikirim oleh server |
| Masa berlaku tipikal | 20–25 tahun | 5–10 tahun | 90 hari – 1 tahun |
| Jika disusupi | Semua sertifikat invalid — bencana | Cabut intermediate saja | Cabut dan terbitkan ulang |
| Perkiraan jumlah | ~150 root terpercaya global | Ribuan | Ratusan juta |
Sertifikat Root
Sertifikat root adalah jangkar kepercayaan di puncak rantai. Ini self-signed, artinya Otoritas Sertifikat menandatangani sertifikatnya sendiri. Sertifikat root sudah terinstal di browser dan sistem operasi Anda — koleksi ini disebut trust store.
Ada sekitar 150 CA root yang dipercaya browser utama secara default. Organisasi seperti DigiCert, Let's Encrypt (ISRG), Sectigo, dan GlobalSign mengoperasikan sertifikat root. Karena kunci root sangat kritis, CA menyimpannya dalam hardware security module (HSM) di dalam brankas yang aman secara fisik dan terisolasi dari jaringan.
Sertifikat Intermediate
Sertifikat intermediate berada di antara sertifikat root dan sertifikat server Anda. CA root menandatangani sertifikat intermediate, dan CA intermediate kemudian menandatangani sertifikat end-entity (server). Sebagian besar CA menggunakan satu atau dua intermediate.
Server web Anda harus mengirimkan sertifikat intermediate bersama dengan sertifikat leaf selama TLS handshake. Berbeda dengan sertifikat root, intermediate tidak terinstal di browser — jika server tidak mengirimkannya, rantai akan putus.
Sertifikat Leaf (Sertifikat Server)
Sertifikat leaf (disebut juga sertifikat end-entity atau sertifikat server) adalah sertifikat yang diinstal di server web Anda. Berisi nama domain, kunci publik, periode validitas, dan informasi tentang penerbit (CA intermediate yang menandatanganinya).
Ini adalah sertifikat pertama yang diterima browser selama TLS handshake. Browser kemudian naik melalui rantai, memverifikasi setiap tanda tangan hingga mencapai root terpercaya.
Cara Kerja Rantai Kepercayaan
Saat browser Anda terhubung ke website melalui HTTPS, TLS handshake memicu proses verifikasi rantai yang terjadi dalam hitungan milidetik:
Server mengirim sertifikat — Server web mengirim sertifikat leaf beserta semua sertifikat intermediate ke browser.
Browser membangun rantai — Browser menyusun sertifikat secara berurutan: leaf → intermediate → root. Browser mengidentifikasi root dengan memeriksa trust store-nya.
Verifikasi tanda tangan — Dimulai dari leaf, browser memverifikasi bahwa tanda tangan digital setiap sertifikat dibuat oleh kunci privat sertifikat berikutnya dalam rantai.
Pencarian root — Browser mengonfirmasi sertifikat root di puncak rantai ada dalam trust store bawaan. Jika root tidak dikenali, verifikasi gagal.
Pemeriksaan validitas — Untuk setiap sertifikat dalam rantai, browser memeriksa: belum kedaluwarsa, belum dicabut (melalui CRL atau OCSP), dan domain sertifikat leaf cocok dengan URL.
Apa yang Terjadi Setelah Verifikasi
Jika semua pemeriksaan lolos, browser membuat koneksi terenkripsi dan menampilkan ikon gembok. Jika satu pemeriksaan saja gagal — bahkan pada sertifikat intermediate — browser menampilkan peringatan seperti "Koneksi Anda tidak privat" atau "NET::ERR_CERT_AUTHORITY_INVALID."
Inilah mengapa seluruh rantai penting, bukan hanya sertifikat leaf. Sertifikat intermediate yang kedaluwarsa akan merusak HTTPS sama parahnya dengan sertifikat server yang kedaluwarsa.
Mengapa Sertifikat Intermediate Ada
CA root secara teori bisa menandatangani setiap sertifikat server secara langsung, melewati intermediate sepenuhnya. Tapi ada tiga alasan kritis mengapa mereka tidak melakukannya:
Isolasi keamanan — Kunci privat CA root disimpan offline dalam HSM di brankas yang aman secara fisik. Kunci ini hanya digunakan untuk menandatangani intermediate, bukan jutaan sertifikat server individual. Ini secara drastis mengurangi risiko kunci root disusupi.
Pengendalian kerusakan — Jika CA intermediate disusupi, hanya sertifikat intermediate tersebut yang terpengaruh. CA root dapat mencabut intermediate yang disusupi dan menerbitkan yang baru — tanpa membatalkan setiap sertifikat yang pernah diterbitkan.
Fleksibilitas operasional — CA menggunakan intermediate berbeda untuk tujuan berbeda: satu untuk sertifikat DV, lainnya untuk EV, terpisah untuk region atau algoritma kunci yang berbeda (RSA vs ECDSA).
Cara Memeriksa Rantai Sertifikat SSL Anda
Ada tiga cara untuk memeriksa rantai sertifikat website, dari alat command line hingga pemeriksaan berbasis browser.
Metode 1: OpenSSL (Command Line)
Perintah openssl adalah cara paling detail untuk memeriksa rantai sertifikat. Jalankan ini di terminal Anda:
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'Metode 2: Penampil Sertifikat Browser
Semua browser utama memungkinkan Anda memeriksa rantai sertifikat tanpa alat khusus:
Klik ikon gembok di address bar browser
Pilih "Koneksi aman" → "Sertifikat valid"
Buka tab "Jalur Sertifikasi" (Chrome/Edge) atau tab "Detail" (Firefox)
Anda akan melihat rantai lengkap dari root (atas) ke leaf (bawah)
Metode 3: DNS Robot SSL Checker
Cara tercepat untuk memeriksa rantai sertifikat website adalah dengan alat online. SSL Checker kami menampilkan rantai lengkap, detail penerbit, tanggal validitas, dan status verifikasi — semuanya dalam satu klik. Masukkan domain apapun dan lihat rantai lengkap secara instan.
Error Rantai Sertifikat Umum dan Cara Memperbaikinya
Masalah rantai sertifikat adalah salah satu penyebab paling sering error HTTPS. Berikut error yang paling mungkin Anda temui dan cara menyelesaikan masing-masing.
Sertifikat Intermediate Hilang
Pesan error: "unable to verify the first certificate" atau "incomplete certificate chain"
Penyebab: Server Anda hanya mengirim sertifikat leaf tanpa intermediate. Browser desktop kadang mengatasi ini dengan menggunakan intermediate yang di-cache dari kunjungan sebelumnya, tapi browser mobile dan API client hampir selalu gagal.
Perbaikan: Download sertifikat intermediate dari dokumentasi CA dan tambahkan ke file sertifikat server. Di Nginx, gabungkan menjadi satu file:
cat your-domain.crt intermediate.crt > fullchain.crtSertifikat Self-Signed dalam Rantai
Pesan error: "self-signed certificate in certificate chain"
Penyebab: Sertifikat root tidak perlu dimasukkan dalam rantai yang dikirim server, atau sertifikat memang benar-benar self-signed dan bukan dari CA terpercaya.
Perbaikan: Hapus sertifikat root dari file rantai server. Server hanya boleh mengirim leaf + intermediate. Browser sudah memiliki root di trust store — mengirimnya tidak perlu dan bisa menyebabkan error ini.
Urutan Sertifikat Salah
Pesan error: Verifikasi rantai mungkin gagal diam-diam atau menghasilkan peringatan "sertifikat tidak terpercaya".
Penyebab: Sertifikat dalam file rantai urutannya salah.
Perbaikan: Urutan yang benar selalu: sertifikat leaf duluan, kemudian intermediate dari yang paling dekat leaf ke yang paling dekat root. Jangan pernah sertakan sertifikat root.
Sertifikat Kedaluwarsa dalam Rantai
Pesan error: "certificate has expired" — tapi tanggal kedaluwarsa sertifikat leaf terlihat baik-baik saja.
Penyebab: Sertifikat intermediate dalam rantai sudah kedaluwarsa. Ini lebih jarang tapi bisa terjadi saat CA merotasi intermediate mereka.
Perbaikan: Download sertifikat intermediate terbaru dari CA dan ganti yang lama. Lalu gunakan SSL Checker kami untuk memverifikasi rantai yang sudah diperbarui.
Praktik Terbaik Rantai Sertifikat
Selalu instal intermediate — Jangan pernah berasumsi browser akan menyelesaikannya sendiri. Selalu konfigurasi server untuk mengirim rantai lengkap (leaf + intermediate).
Jangan kirim root — Browser sudah memiliki sertifikat root. Menyertakan root membuang bandwidth dan bisa memicu error di beberapa client.
Jaga urutan yang benar — Leaf duluan, intermediate berikutnya, tanpa root. Beberapa server ketat soal urutan; yang lain mentoleransi tapi mungkin lebih lambat memverifikasi.
Pantau kedaluwarsa — Sertifikat intermediate juga kedaluwarsa. Atur alert atau gunakan manajemen sertifikat otomatis (seperti certbot dengan Let's Encrypt).
Verifikasi setelah perubahan — Setelah memperbarui sertifikat atau ganti hosting, selalu periksa rantai dengan alat seperti SSL Checker kami. Yang berfungsi sebelum pembaruan mungkin tidak berfungsi sesudahnya jika CA mengubah intermediate-nya.
Gunakan OCSP Stapling — Aktifkan OCSP stapling di server agar browser dapat memverifikasi status pencabutan sertifikat lebih cepat tanpa menghubungi CA secara langsung.
Periksa rantai sertifikat SSL Anda sekarang
Gunakan SSL Checker gratis dari DNS Robot untuk memverifikasi rantai sertifikat, memeriksa tanggal kedaluwarsa, dan detail penerbit — semuanya dalam satu klik.
Try SSL CheckerFrequently Asked Questions
Rantai sertifikat SSL adalah urutan sertifikat digital yang menghubungkan sertifikat SSL website dengan Otoritas Sertifikat (CA) root terpercaya. Biasanya mencakup tiga level: sertifikat leaf (server), satu atau lebih sertifikat intermediate, dan sertifikat root yang sudah dipercaya browser.