FAQ Migrasi Root CA Google Maps Platform

Informasi umum

Pemecahan masalah

Mengelola sertifikat tepercaya Anda

Lampiran

Informasi umum

Apa yang terjadi?

Gambaran besarnya

Google sedang mengerjakan rencana multi-tahun untuk menerbitkan dan menggunakan root certificate miliknya sendiri, yaitu tanda tangan kriptografi yang menjadi dasar keamanan internet TLS/SSL yang digunakan oleh HTTPS.

Saat ini, keamanan TLS Google Maps Platform dijamin oleh root certificate yang diterbitkan GeoTrust Global CA, sebuah certificate authority (CA) yang dikenal luas dan tepercaya milik Symantec. Pada dasarnya semua klien TLS (seperti browser web, smartphone, dan server aplikasi) mengenali root certificate ini, sehingga dapat menggunakannya untuk memastikan koneksi yang aman ke server Google Maps Platform.

Di awal tahun 2020, Google berencana memigrasi semua layanan Google Maps Platform ke root certificate yang diterbitkan oleh certificate authority milik Google sendiri, yaitu Google Trust Services (GTS).

Sebagai langkah sementara, di awal tahun 2018, Google Maps Platform bermigrasi ke root certificate lain yang dipercaya secara luas milik GlobalSign (GS). Google telah membeli penggunaan root certificate ini (dan CA yang digunakan GlobalSign untuk menerbitkannya) untuk memudahkan transisi sertifikat.

Mayoritas klien TLS sudah mengenali root certificate GlobalSign, sehingga penggunaan Google Maps Platform tidak akan terpengaruh oleh perubahan awal ini.

Namun, khusus untuk beberapa kasus penggunaan spesialis seperti perangkat yang disematkan, atau pengguna yang menggunakan browser atau sistem operasi versi lama, ada kemungkinan beberapa klien tidak memiliki root certificate GlobalSign. Klien tersebut harus diupdate dengan sertifikat ini agar dapat mengamankan koneksi Google Maps Platform. Google tidak dapat mengidentifikasi klien tersebut, sehingga pemilik aplikasi harus melakukan verifikasi yang diperlukan pada aplikasi mereka sendiri. Google Trust Services menyediakan endpoint pengujian HTTPS di situs GTS untuk membantu menyelesaikan masalah ini. Lihat di bawah untuk detail teknis lebih lanjut.

Hal yang sama kemungkinan akan berlaku untuk sebagian besar sistem pada saat migrasi ke root certificate GTS dimulai. Anda dapat mengikuti rekomendasi dalam dokumen ini untuk memastikan kelancaran migrasi bahkan untuk sistem spesialis.

Ringkasan teknis

Seperti yang diumumkan di portal dukungan pelanggan Premium Plan Google Maps Platform pada tanggal 16 Maret 2017, dan sebelumnya di Blog Keamanan Google, Google telah membuat root CA sendiri, yaitu GTS. Bersama dengan layanan Google lainnya, Google Maps Platform akan melakukan transisi secara bertahap ke sertifikat TLS yang ditandatangani oleh root CA GTS.

Sebagai langkah sementara, Google telah membeli CA GS Root R2 yang sudah ada dan dipercaya secara luas. Google Maps Platform mulai bermigrasi dari root certificate GeoTrust ke sertifikat ini di akhir tahun 2017. Migrasi selesai pada awal tahun 2018.

Hampir semua klien TLS telah dikonfigurasi sebelumnya dengan sertifikat GS Root R2 atau menerima sertifikat tersebut melalui update software biasa, namun, jika aplikasi terhubung ke Google Maps Platform dari klien yang mungkin tidak mengenali sertifikat ini, developer aplikasi harus memastikan bahwa klien tersebut telah diuji dan jika perlu diupdate dengan sertifikat tersebut.

Sertifikat GS Root R2 dan semua root certificate GTS tersedia di situs GTS. Untuk tujuan pengujian, situs GTS juga menyediakan endpoint dengan sertifikat TLS yang ditandatangani oleh setiap CA. Secara khusus, jika klien Anda dapat menghubungkan TLS ke endpoint pengujian GS Root R2, klien akan memercayai sertifikat GS Root R2 dan tidak akan terpengaruh oleh perubahan mendatang.

Google akan menggunakan CA GS Root R2 setidaknya sampai akhir tahun 2018. Setelah itu, Google Maps Platform dapat bertransisi langsung ke CA GTS, atau mungkin kembali ke root CA pihak ketiga termasuk CA GS Root R3.

Bagaimana cara mendapatkan informasi terbaru tentang proses migrasi ini?

Bintangi masalah umum 67842936 untuk mengetahui informasi terbaru. FAQ ini juga diperbarui selama proses migrasi, setiap kali kami menemukan topik yang mungkin sesuai dengan kepentingan umum.

Kami menggunakan beberapa layanan Google. Apakah migrasi root CA akan memengaruhi semuanya?

Ya, migrasi root CA akan terjadi di semua API dan layanan Google, tetapi waktunya mungkin berbeda untuk setiap layanan. Namun, setelah memverifikasi bahwa aplikasi Anda memercayai kumpulan root certificate yang direkomendasikan yang tercantum dalam file PEM sampel Google, aplikasi Anda akan siap menghadapi masa depan selama migrasi root certificate, apa pun layanan atau Google API yang mungkin dipanggil. Lihat pertanyaan Haruskah saya menginstal semua root certificate dari file PEM sampel Google? untuk detail lebih lanjut.

Bagaimana cara memastikan apakah penyimpanan sertifikat saya memerlukan update

Uji lingkungan aplikasi Anda terhadap endpoint pengujian yang dicantumkan bersama dengan setiap root CA di situs GTS. Jika Anda dapat menghubungkan TLS ke endpoint pengujian GS Root R2 dan sandbox pengujian sertifikat Google, Anda tidak perlu khawatir setidaknya sampai akhir tahun 2018.

Oleh karena itu, kami sangat menyarankan agar Anda menginstal semua sertifikat dari file PEM sampel Google sekarang untuk menyiapkan sistem Anda menghadapi masa depan, kecuali Anda yakin bahwa Anda dapat memastikan lingkungan produksi akan selalu diperbarui dan diperbaiki.

Apakah ada alat sederhana yang dapat saya gunakan untuk memverifikasi penyimpanan sertifikat?

Alat command line curl, tersedia di sebagian besar platform, menawarkan berbagai opsi untuk menguji penyiapan Anda. Untuk mengetahui petunjuk cara mendapatkan curl, lihat bagian Mendapatkan curl.

Menguji penyimpanan sertifikat default
# Google certificate test sandbox
$ curl -vvI https://cert-test.sandbox.google.com/
# GS Root R2
$ curl -vvI https://good.gsr2demo.pki.goog/
# GS Root R4
$ curl -vvI https://good.gsr4demo.pki.goog/
# GS Root R3
$ curl -vvI https://valid.r3.roots.globalsign.com/
# GTS Root R1
$ curl -vvI https://good.r1demo.pki.goog/
# GTS Root R2
$ curl -vvI https://good.r2demo.pki.goog/
# GTS Root R3
$ curl -vvI https://good.r3demo.pki.goog/
# GTS Root R4
$ curl -vvI https://good.r4demo.pki.goog/
$ openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null 2>/dev/null
$ openssl s_client -connect cert-test.sandbox.google.com:443 -showcerts </dev/null 2>/dev/null
Memverifikasi paket Root CA Google
Download file PEM sampel Google, lalu ikuti langkah-langkah berikut:
# Google certificate test sandbox
$ curl -vvI --cacert roots.pem https://cert-test.sandbox.google.com/
# GS Root R2
$ curl -vvI --cacert roots.pem https://good.gsr2demo.pki.goog/
# GS Root R4
$ curl -vvI --cacert roots.pem https://good.gsr4demo.pki.goog/
# GS Root R3
$ curl -vvI --cacert roots.pem https://valid.r3.roots.globalsign.com/
# GTS Root R1
$ curl -vvI --cacert roots.pem https://good.r1demo.pki.goog/
# GTS Root R2
$ curl -vvI --cacert roots.pem https://good.r2demo.pki.goog/
# GTS Root R3
$ curl -vvI --cacert roots.pem https://good.r3demo.pki.goog/
# GTS Root R4
$ curl -vvI --cacert roots.pem https://good.r4demo.pki.goog/
$ openssl s_client -CAfile roots.pem -connect maps.googleapis.com:443 -showcerts </dev/null 2>/dev/null
$ openssl s_client -CAfile roots.pem -connect cert-test.sandbox.google.com:443 -showcerts </dev/null 2>/dev/null

Bagaimana migrasi akan dilakukan?

Kapan migrasi akan dilakukan?

Fase migrasi pertama, beralih ke sertifikat yang diterbitkan oleh intermediate CA yang didasarkan pada GS Root R2, dimulai di akhir tahun 2017 dan selesai di paruh pertama tahun 2018.

Jadwal fase migrasi berikutnya akan diumumkan dalam beberapa tahun mendatang, namun sebelum tanggal masa berlaku sertifikat GS Root R2 2021 berakhir.

Rencana peluncuran umum untuk setiap layanan Google

  • Peluncuran bertahap dimulai di satu pusat data.
  • Peluncuran ini diperluas secara bertahap ke lebih banyak pusat data hingga mencakup semuanya.
  • Jika masalah serius terdeteksi di suatu tahap, pengujian dapat di-roll back untuk sementara selagi masalah tersebut ditangani.
  • Berdasarkan masukan dari iterasi sebelumnya, layanan Google selanjutnya akan disertakan dalam peluncuran hingga semua layanan Google secara bertahap dimigrasikan ke sertifikat baru.

Siapa yang akan terpengaruh, kapan, dan di mana?

Sejumlah besar developer Google Maps Platform akan mulai menerima sertifikat baru saat pusat data baru dimigrasikan. Perubahan akan dilokalkan, karena permintaan klien cenderung diteruskan ke server di pusat data yang terdekat secara geografis. Karena kami tidak mengetahui dengan pasti siapa yang akan terpengaruh, kapan, dan di mana, sebaiknya semua pelanggan sudah memverifikasi bahwa sistem mereka sudah disiapkan untuk menghadapi masa depan, jauh sebelum fase migrasi Root CA Google berikutnya.

Yang perlu diperhatikan

Klien yang tidak dikonfigurasi dengan root certificate yang diperlukan tidak akan dapat memverifikasi koneksi TLS mereka ke Google Maps Platform. Dalam situasi ini, klien biasanya akan mengeluarkan peringatan bahwa validasi sertifikat gagal. Bergantung pada konfigurasi TLS mereka, klien dapat melanjutkan untuk mengirim permintaan Google Maps Platform, atau mereka dapat menolak melanjutkan untuk mengirim permintaan tersebut.

Apa saja persyaratan minimum bagi klien TLS untuk berkomunikasi dengan Google Maps Platform?

Baca bagian Apa persyaratan minimum yang direkomendasikan bagi klien Transport Layer Security (TLS) untuk berkomunikasi dengan Google? di FAQ GTS.

Google Maps Platform tidak memberlakukan persyaratan tambahan apa pun.

Jenis aplikasi apa yang berisiko mengalami error?

Aplikasi yang menggunakan penyimpanan sertifikat sistem tanpa batasan yang diberlakukan oleh developer

Aplikasi layanan web Google Maps Platform

Jika Anda menggunakan OS umum, misalnya, Ubuntu, Red Hat, Windows 7+, atau Server 2008+, OS X) yang masih dikelola dan menerima update rutin, penyimpanan sertifikat default Anda harus sudah menyertakan sertifikat GS Root R2.

Jika Anda menggunakan versi OS lama yang tidak lagi menerima update, Anda mungkin memiliki atau tidak memiliki sertifikat GS Root R2. Misalnya, Windows XP SP2 menyertakan sertifikat, tetapi Windows XP SP1 tidak. Perangkat lama harus diuji untuk memastikan bahwa perangkat tersebut memercayai sertifikat.

Untuk aplikasi seluler yang memanggil layanan web Google Maps Platform langsung dari perangkat pengguna akhir, pedoman dari pertanyaan Apakah aplikasi seluler berisiko mengalami error? dapat digunakan.

Aplikasi Google Maps Platform sisi klien

Aplikasi Google Maps JavaScript API umumnya mengandalkan root certificate browser web yang menjalankan aplikasi. Lihat bagian Apakah aplikasi Google Maps JavaScript API berisiko mengalami error? untuk detail lebih lanjut.

Aturan yang berlaku untuk aplikasi yang memanggil layanan web Google Maps Platform juga berlaku untuk aplikasi seluler native, baik di Android dan iOS, yang menggunakan Google Maps atau Places SDK.

Lihat pertanyaan Apakah aplikasi seluler berisiko mengalami error? untuk detail selengkapnya.

Aplikasi menggunakan paket sertifikat sendiri, atau menggunakan fitur keamanan lanjutan, seperti penyematan sertifikat

Pastikan Anda memperbarui paket sertifikat Anda sendiri. Seperti yang telah dibahas pada pertanyaan Haruskah saya menginstal semua root certificate dari file PEM sampel Google?, sebaiknya impor semua root certificate dari file PEM sampel Google ke penyimpanan sertifikat Anda.

Jika Anda menyematkan sertifikat atau kunci publik untuk domain Google yang terhubung dengan aplikasi Anda, Anda harus menambahkan sertifikat dan kunci publik ke daftar entitas tepercaya dalam aplikasi Anda.

Untuk informasi lebih lanjut tentang penyematan sertifikat atau kunci publik, lihat referensi eksternal yang tercantum pada pertanyaan Perlu info lebih lanjut?.

Haruskah saya menginstal semua root certificate dari file PEM sampel Google?

Jika Anda ingin sekaligus mempersiapkan sistem Anda untuk menghadapi masa depan, sebaiknya instal semua sertifikat dari file PEM sampel Google, terutama jika Anda tidak selalu dan tidak rutin menerapkan update sistem operasi ke sistem, atau jika Anda, misalnya, mengelola paket sertifikat milik Anda sendiri untuk aplikasi Anda.

Mengapa saya tidak boleh menginstal sertifikat intermediate CA?

Anda hanya boleh menginstal root certificate dari file PEM sampel Google, dan menggunakan root certificate untuk memverifikasi keaslian seluruh rantai sertifikat yang didasarkan pada file PEM tersebut. Hal ini juga berlaku untuk setiap sertifikat server (misalnya, sertifikat yang ditampilkan oleh host maps.googleapis.com), serta setiap intermediate CA kami (misalnya, GIAG3, GTS CA 1O1, atau GIAG4).

Setiap penerapan library TLS modern harus dapat memverifikasi rantai kepercayaan tersebut secara otomatis, selama root certificate authority tepercaya.

Apakah aplikasi Google Maps JavaScript API berisiko mengalami error?

Root CA GlobalSign R2 disematkan dengan baik, dan dipercaya oleh sebagian besar browser modern. Oleh karena itu, kemungkinan browser ini akan terus dapat terhubung ke layanan Google selama beberapa waktu. Jika browser dikelola secara aktif, hampir dipastikan bahwa suatu saat browser juga akan mendukung semua root CA Google lainnya.

Namun, Google Maps JavaScript API sendiri hanya dijamin dapat digunakan di browser yang didukung, jadi sebaiknya gunakan salah satu browser yang tercantum dan selalu update browser untuk mencegah terjadinya masalah saat digunakan.

Apakah aplikasi seluler berisiko mengalami error?

Perangkat Android dan Apple yang masih menerima update rutin dari produsen perangkat juga diharapkan siap untuk menghadapi masa depan. Sebagian besar ponsel Android model lama sudah menyertakan setidaknya sertifikat GS Root R2 dan GS Root R3, meski daftar sertifikat tepercaya dapat bervariasi untuk setiap produsen handset, model perangkat, dan versi Android. Versi Proyek Open Source Android (AOSP) yang lebih baru yang digunakan di perangkat bermerek Google Nexus dan Pixel juga memercayai GS Root R4 secara default. Dukungan untuk Root CA GTS masih belum maksimal di semua versi Android yang dirilis.

Untuk perangkat iOS, Apple menyimpan daftar root CA tepercaya untuk setiap versi iOS terbaru di halaman dukungannya. Namun, semua iOS versi 5 dan yang lebih baru mendukung GS Root R2 dan R3. Versi 7 dan yang lebih baru juga mendukung GS Root R4. Sedangkan untuk versi Android saat ini, Root CA GTS belum didukung pada saat ini ditulis.

Lihat bagian Bagaimana cara memeriksa root certificate tepercaya di ponsel saya? untuk detail lebih lanjut.

Kapan browser atau sistem operasi saya menyertakan root certificate Google Trust Services?

Google bekerja sama dengan semua pihak ketiga utama yang mengelola paket root certificate yang digunakan secara luas dan tepercaya. Contohnya meliputi produsen sistem operasi, seperti Apple dan Microsoft, tetapi juga tim Android dan ChromeOS milik Google; developer browser, seperti Mozilla, Apple, Microsoft, tetapi juga tim Chrome milik Google; produsen hardware, seperti ponsel, dekoder, TV, konsol game, printer, dan lain-lain.

Karena jadwal penyertaan sertifikat pihak ketiga berada di luar kendali Google, saran terbaik yang dapat kami berikan adalah memastikan Anda secara rutin menerapkan update sistem yang tersedia. Pihak ketiga tertentu, seperti Program Sertifikat CA Mozilla mungkin telah mendokumentasikan jadwal penyertaan sertifikat mereka sendiri.

Pemecahan masalah

Di mana saya bisa mendapatkan alat yang saya butuhkan?

Mendapatkan curl

Jika distribusi OS Anda tidak menyediakan curl, Anda dapat mendownloadnya dari https://curl.haxx.se/. Anda dapat mendownload sumber dan mengompilasi alat tersebut sendiri atau mendownload biner yang telah dikompilasi sebelumnya, jika tersedia untuk platform Anda.

Mendapatkan OpenSSL

Jika distribusi OS Anda tidak menyediakan openssl, Anda dapat mendownload sumber dari https://www.openssl.org/ dan mengompilasi alat tersebut. Daftar biner yang dibuat oleh pihak ketiga dapat dilihat melalui https://www.openssl.org/community/binary.html. Namun, build ini tidak didukung atau dengan cara tertentu direkomendasikan oleh tim OpenSSL.

Mendapatkan Wireshark dan tcpdump

Meski sebagian besar distribusi Linux menawarkan kedua alat, versi wireshark yang telah dikompilasi sebelumnya untuk OS lain dapat ditemukan di https://www.wireshark.org. Kode sumber untuk tcpdump dan LibPCAP dapat ditemukan di https://www.tcpdump.org.

Mendapatkan keytool Java

Alat command line keytool harus dikirimkan bersama setiap versi Java Development Kit (JDK) atau Java Runtime Environment (JRE). Instal ini untuk mendapatkan keytool. Namun, penggunaan keytool mungkin tidak diperlukan untuk verifikasi root certificate, kecuali aplikasi Anda dibuat menggunakan Java.

Apa yang harus dilakukan saat terjadi penonaktifan produksi?

Tindakan utama yang harus Anda lakukan adalah menginstal root certificate yang diperlukan dari file PEM sampel Google ke penyimpanan sertifikat tepercaya yang digunakan aplikasi Anda. Namun, Anda mungkin dapat menemukan informasi yang berguna di bagian Mengelola sertifikat tepercaya Anda.
  1. Bekerja sama dengan administrator sistem untuk mengupgrade penyimpanan sertifikat lokal Anda.
  2. Lihat FAQ ini untuk mengetahui pointer yang berlaku untuk sistem Anda.
  3. Jika Anda memerlukan bantuan khusus platform atau sistem lebih lanjut, hubungi saluran dukungan teknis yang disediakan oleh penyedia sistem Anda.
  4. Untuk mendapatkan bantuan umum, hubungi tim dukungan kami, seperti yang dijelaskan di bagian Menghubungi dukungan Google Maps Platform.
  5. Bintangi masalah umum 67842936 untuk mengetahui informasi terbaru tentang migrasi.

Menghubungi dukungan Google Maps Platform

Pemecahan masalah awal

Lihat pertanyaan Bagaimana cara memastikan apakah penyimpanan sertifikat saya memerlukan update untuk petunjuk pemecahan masalah umum.

Bagian Mengelola sertifikat tepercaya Anda juga dapat memberikan informasi penting, jika Anda perlu mengimpor atau mengekspor root certificate.

Jika masalah tidak terselesaikan, dan Anda memutuskan untuk menghubungi dukungan Google Maps Platform, siapkan informasi berikut:

  1. Di mana lokasi server Anda yang terpengaruh?
  2. Alamat IP Google mana yang dipanggil oleh layanan Anda?
  3. API mana yang terpengaruh oleh masalah ini?
  4. Kapan masalah mulai muncul?
  5. Output dari perintah berikut:
    # Google Maps Platform service
    $ curl -vvI https://maps.googleapis.com/
    # Google Search site
    $ curl -vvI https://www.google.com/
    # Google certificate test sandbox
    $ curl -vvI https://cert-test.sandbox.google.com/
    # GS Root R2
    $ curl -vvI https://good.gsr2demo.pki.goog/
    # GS Root R3
    $ curl -vvI https://valid.r3.roots.globalsign.com/
    # GTS Root R1
    $ curl -vvI https://good.r1demo.pki.goog/
    $ openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null 2>/dev/null
    $ openssl s_client -connect cert-test.sandbox.google.com:443 -showcerts </dev/null 2>/dev/null
    

Untuk mengetahui petunjuk cara mendapatkan alat yang diperlukan, lihat pertanyaan Di mana saya bisa mendapatkan alat yang saya butuhkan?.

Bagaimana cara menentukan alamat publik DNS saya?

Di Linux, Anda dapat menjalankan perintah berikut:
dig -t txt o-o.myaddr.l.google.com
Di Windows, Anda dapat menggunakan nslookup dalam mode interaktif :
C:\> nslookup -
set type=TXT
o-o.myaddr.l.google.com

Bagaimana cara menafsirkan output curl dengan benar dan memastikan hasilnya dapat diandalkan?

Menjalankan curl dengan tanda -vvI akan memberikan banyak informasi berguna. Berikut ini beberapa petunjuk untuk menafsirkan output:
  • Baris yang dimulai dengan '*' menampilkan output dari negosiasi TLS, serta informasi penghentian koneksi.
  • Baris yang dimulai dengan '>' menampilkan permintaan HTTP keluar yang dikirim curl.
  • Baris yang dimulai dengan '<' menampilkan respons HTTP yang didapatkan dari server.
  • Jika protokolnya adalah HTTPS, keberadaan baris '>' atau '<' menandakan handshake TLS berhasil.
Library TLS dan paket root certificate yang digunakan

Menjalankan curl dengan tanda -vvI juga akan mencetak penyimpanan sertifikat yang digunakan, namun output persisnya dapat bervariasi untuk setiap sistem seperti yang ditunjukkan di bawah ini.

Output dari mesin Red Hat Linux dengan curl yang ditautkan ke NSS dapat berisi baris berikut:

* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none

Output dari mesin Ubuntu atau Debian Linux dapat berisi baris berikut:

* successfully set certificate verify locations:
* CAfile: none
  CApath: /etc/ssl/certs

Output dari mesin Ubuntu atau Debian Linux menggunakan file PEM root certificate Google yang diberikan menggunakan tanda --cacert dapat berisi baris berikut:

* successfully set certificate verify locations:
* CAfile: /home/<username>/Downloads/roots.pem
  CApath: /etc/ssl/certs
Agen pengguna

Permintaan keluar berisi header Agen Pengguna yang mungkin memberikan informasi berguna tentang curl dan sistem Anda.

Contoh dari mesin Red Hat Linux:

> HEAD / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh2/1.4.2
> Host: cert-test.sandbox.google.com
> Accept: */*
>
Handshake TLS gagal
Baris seperti yang di bawah ini menunjukkan bahwa koneksi diakhiri ditengah handshake TLS karena sertifikat server tidak tepercaya. Tidak adanya output debug yang dimulai dengan '>' atau '<' juga merupakan indikator kuat gagalnya koneksi:
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
Handshake TLS berhasil
Handshake TLS yang berhasil ditunjukkan dengan adanya baris yang mirip dengan yang terlihat di bawah ini. Rangkaian chiper yang digunakan untuk koneksi yang dienkripsi harus dicantumkan, begitu juga detail sertifikat server yang diterima. Selain itu, adanya baris yang dimulai dengan '>' atau '<' menunjukkan bahwa traffic HTTP payload berhasil dikirim melalui koneksi yang dienkripsi TLS:
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=Mountain View; O=Google LLC; CN=*.googleapis.com
*  start date: Jul 29 17:24:40 2019 GMT
*  expire date: Oct 27 17:24:40 2019 GMT
*  subjectAltName: host "maps.googleapis.com" matched cert's "*.googleapis.com"
*  issuer: C=US; O=Google Trust Services; CN=GTS CA 1O1
*  SSL certificate verify ok.
> HEAD / HTTP/1.1
> User-Agent: curl/7.64.0
> Host: maps.googleapis.com
> Accept: */*
>
< HTTP/1.1 302 Found
Bagaimana cara mencetak sertifikat server yang diterima dalam bentuk yang dapat dibaca manusia?
Dengan menganggap output berformat PEM, misalnya, output dari openssl s_client ... -showcerts, Anda dapat mencetak sertifikat yang ditampilkan dengan mengikuti langkah-langkah berikut:
  1. Salin seluruh sertifikat yang dienkode ke Base 64, termasuk header dan footer:
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
    
  2. openssl x509 -inform pem -noout -text
    
  3. Tempel konten buffer salinan ke terminal.
  4. Tekan tombol Tampilkan.
Untuk contoh input dan output, lihat bagian Bagaimana cara mencetak sertifikat PEM dalam bentuk yang dapat dibaca manusia? di bawah ini.

Seperti apa tampilan sertifikat Google di OpenSSL?

Sertifikat baru didasarkan pada Root CA GlobalSign - R2

Certificate chain
 0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = *.googleapis.com
   i:C = US, O = Google Trust Services, CN = GTS CA 1O1
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 1 s:C = US, O = Google Trust Services, CN = GTS CA 1O1
   i:OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
---
Server certificate
subject=C = US, ST = California, L = Mountain View, O = Google LLC, CN = *.googleapis.com

issuer=C = US, O = Google Trust Services, CN = GTS CA 1O1

Mengelola sertifikat tepercaya Anda

Bagaimana cara memeriksa root certificate tepercaya di ponsel saya?

Sertifikat tepercaya Android

Seperti yang disebutkan dalam pertanyaan Apakah aplikasi seluler berisiko mengalami error?, Android mulai versi 4.0 memungkinkan pengguna handset memverifikasi daftar sertifikat tepercaya di Setelan. Tabel di bawah ini menunjukkan jalur menu Setelan yang tepat:

Versi Android Jalur menu
1.x, 2.x, 3.x T/A
4.x, 5.x, 6.x, 7.x Setelan > Keamanan > Kredensial tepercaya
8.x, 9 Setelan > Keamanan & Lokasi > Enkripsi & kredensial > Kredensial tepercaya
10 Setelan > Keamanan > Lanjutan ∨ Enkripsi & kredensial > Kredensial tepercaya

Tabel di bawah ini mengilustrasikan kemungkinan ketersediaan root certificate yang paling penting untuk setiap versi Android, berdasarkan verifikasi manual menggunakan image sistem Android Virtual Device (AVD) yang saat ini tersedia, kembali menggunakan histori versi repositori Git sertifikat CA AOSP setiap kali image sistem tidak lagi tersedia:

Versi Android GS Root R2 GS Root R3 GS Root R4 GTS
2.3, 3.2, 4.x, 5.0
5.1, 6.x, 7.x, 8.x, 9
10

Mengupdate penyimpanan sertifikat sistem Android biasanya tidak dapat dilakukan tanpa mengupdate firmware atau melakukan root pada perangkat. Namun, kumpulan root certificate tepercaya saat ini pada sebagian besar versi Android yang masih banyak digunakankemungkinan memberikan layanan tanpa gangguan untuk beberapa tahun mendatang, melebihi masa pakai efektif sebagian besar perangkat yang ada sekarang.

Mulai versi 7.0, Android menawarkan metode yang aman bagi developer aplikasi untuk menambahkan sertifikat tepercaya yang hanya dipercaya oleh aplikasi mereka. Hal ini dilakukan dengan memaketkan sertifikat dengan aplikasi dan membuat konfigurasi keamanan jaringan khusus, seperti yang dijelaskan dalam dokumen pelatihan Praktik Terbaik Android untuk Keamanan & Privasi Konfigurasi Keamanan Jaringan.

Namun, karena developer aplikasi pihak ketiga tidak akan dapat memengaruhi konfigurasi keamanan jaringan dari traffic yang berasal dari APK Layanan Google Play, upaya tersebut tidak akan sepenuhnya menyelesaikan masalah.

Pada perangkat lama, opsi yang tersedia hanya menggunakan CA yang ditambahkan pengguna, baik yang diinstal oleh kebijakan grup perusahaan yang diterapkan pada perangkat pengguna akhir atau oleh pengguna akhir itu sendiri.

Trust Store iOS

Meski Apple tidak secara langsung menampilkan kumpulan default root certificate tepercaya kepada pengguna handset, perusahaan tersebut memiliki tautan ke kumpulan root CA tepercaya untuk iOS versi 5 dan lebih baru dari artikel Dukungan Apple Daftar sertifikat dasar tepercaya yang tersedia di iOS dan iOS 5 dan iOS 6: Daftar sertifikat dasar tepercaya yang tersedia.

Namun, semua sertifikat tambahan yang diinstal di perangkat iOS dapat dilihat di Setelan > Umum > Profil. Jika tidak ada sertifikat tambahan yang diinstal, item menu Profil tidak akan ditampilkan.

Tabel di bawah ini mengilustrasikan ketersediaan root certificate yang paling penting untuk setiap versi iOS, berdasarkan sumber di atas:

Versi iOS GS Root R2 GS Root R3 GS Root R4 GTS
5, 6
7, 8, 9, 10, 11, 12.0
12.1.3+

Di mana lokasi penyimpanan sertifikat sistem saya dan bagaimana cara mengupdatenya?

Lokasi penyimpanan sertifikat default berbeda-beda bergantung sistem operasi dan library SSL/TLS yang digunakan. Namun, pada sebagian besar distribusi Linux, root certificate default dapat ditemukan di salah satu jalur berikut: /usr/local/share/ca-certificates (Debian, Ubuntu, versi lebih lama RHEL dan CentOS) , /etc/pki/ca-trust/source/anchors dan /usr/share/pki/ca-trust-source (Fedora, versi lebih baru RHEL dan CentOS), atau /var/lib/ca-certificates (OpenSUSE). Jalur sertifikat lainnya dapat mencakup /etc/ssl/certs (Debian, Ubuntu) atau /etc/pki/tls/certs (RHEL, CentOS). Beberapa sertifikat di direktori ini kemungkinan berupa link simbolis ke file di direktori lain.

OpenSSL

Untuk aplikasi yang menggunakan OpenSSL, Anda dapat memeriksa lokasi yang dikonfigurasi dari komponen yang diinstal termasuk penyimpanan sertifikat default menggunakan perintah berikut:
openssl version -d
Perintah tersebut mencetak OPENSSLDIR, yang sesuai dengan direktori tingkat atas di library dan konfigurasinya dapat ditemukan di:
OPENSSLDIR: "/usr/lib/ssl"
Penyimpanan sertifikat terletak di subdirektori certs.
$ ls -l /usr/lib/ssl/certs
lrwxrwxrwx 1 root root 14 Feb 13  2017 /usr/lib/ssl/certs -> /etc/ssl/certs
$ ls -l /etc/ssl/certs
…
-rw-r--r-- 1 root root 212177 Sep  5 00:45 ca-certificates.crt
…
lrwxrwxrwx 1 root root     62 Sep  5 00:39 GlobalSign_Root_CA_-_R2.pem -> /usr/share/ca-certificates/mozilla/GlobalSign_Root_CA_-_R2.crt
…

Jika OpenSSL menggunakan penyimpanan sertifikat sistem default seperti pada contoh di atas, periksa bagian tingkat atas Di mana lokasi penyimpanan sertifikat sistem saya dan bagaimana cara mengupdatenya? untuk memastikan paket root certificate sistem sudah diperbarui. .

Untuk mengetahui petunjuk cara mendapatkan openssl, lihat bagian Mendapatkan OpenSSL.

Mozilla NSS

Aplikasi yang menggunakan Mozilla NSS mungkin secara default juga menggunakan database sertifikat seluruh sistem yang biasanya berada di /etc/pki/nssdb, atau penyimpanan default khusus pengguna di ${HOME}/.pki/nssdb. Untuk mengupdate NSS, lihat dokumentasi alat certutil tentang cara menambahkan sertifikat baru, serta dokumentasi OS resmi.

Microsoft .NET

Bagi developer .NET Windows, artikel Microsoft berikut mungkin berguna untuk mengupdate penyimpanan sertifikat:

Java

Aplikasi Java mungkin menggunakan penyimpanan sertifikatnya sendiri, yang pada sistem Linux biasanya berada di /etc/pki/java/cacerts atau /usr/share/ca-certificates-java. Lihat artikel Stack Overflow dan Oracle berikut untuk mendapatkan bantuan dalam mengupdate penyimpanan sertifikat Java menggunakan alat command line keytool Oracle:

Apa yang dimaksud dengan file PEM?

Privacy-Enhanced Mail (PEM) adalah format file teks standar de-facto untuk menyimpan dan mengirim sertifikat kriptografi, kunci, dll., yang diformalkan sebagai standar de-jure di RFC 746.

Meski format file itu sendiri dapat dibaca manusia, informasi data sertifikat biner yang dienkode ke Base64 tidak dapat dibaca. Namun, spesifikasi PEM mengizinkan pengiriman teks penjelasan baik sebelum atau setelah badan sertifikat yang dienkode ke teks. Selain itu, banyak alat menggunakan fitur ini untuk memberikan ringkasan teks yang jelas terkait elemen data yang paling relevan dalam sertifikat.

Alat, seperti openssl juga dapat digunakan untuk mendekode seluruh sertifikat ke bentuk yang dapat dibaca manusia. Lihat bagian Bagaimana cara mencetak sertifikat PEM dalam bentuk yang dapat dibaca manusia? untuk info selengkapnya.

Apa yang dimaksud dengan file ".crt"?

Alat yang memungkinkan ekspor sertifikat dalam format PEM biasanya menggunakan ekstensi file ".crt" untuk menunjukkan bahwa file menggunakan enkode tekstual.

Apa yang dimaksud dengan file DER?

Distinguished Encoding Rules (DER) adalah format biner standar untuk mengenkode sertifikat. Sertifikat dalam file PEM biasanya sertifikat DER yang dienkode ke Base64

Apa yang dimaksud dengan file ".cer"?

File yang diekspor dengan akhiran ".cer" mungkin berisi sertifikat yang dienkode ke PEM, tetapi lebih mungkin berupa biner, biasanya sertifikat yang dienkode ke DER. Berdasarkan konvensi, file ".cer" biasanya hanya berisi satu sertifikat.

Sistem saya menolak mengimpor semua sertifikat dari roots.pem

Beberapa sistem hanya menerima impor file PEM yang berisi satu sertifikat. Lihat pertanyaan Bagaimana cara mengekstrak satu per satu sertifikat dari roots.pem? di bawah untuk mengetahui cara memisahkan file.

Bagaimana cara mengekstrak satu per satu sertifikat dari roots.pem?

Anda dapat memisahkan roots.pem menjadi sertifikat komponennya menggunakan skrip bash sederhana berikut:
csplit -z -f roots.pem. roots.pem '/-----END CERTIFICATE-----/+1' '{*}' &>/dev/null &&\
for f in roots.pem.*;\
  do mv "${f}"\
    $(printf %b $(openssl x509 -in ${f} -noout -issuer|sed -e 's/"//g'|sed -e 's#/#_#g')).pem;\
done
Ini akan membuat sejumlah file PEM terpisah yang mirip dengan yang tercantum di bawah:
issuer=C=BE,O=GlobalSignnv-sa,OU=RootCA,CN=GlobalSignRootCA.pem
issuer=C=GB,ST=GreaterManchester,L=Salford,O=ComodoCALimited,CN=AAACertificateServices.pem
issuer=C=GB,ST=GreaterManchester,L=Salford,O=COMODOCALimited,CN=COMODOCertificationAuthority.pem
issuer=C=GB,ST=GreaterManchester,L=Salford,O=COMODOCALimited,CN=COMODOECCCertificationAuthority.pem
issuer=C=GB,ST=GreaterManchester,L=Salford,O=COMODOCALimited,CN=COMODORSACertificationAuthority.pem
issuer=C=IE,O=Baltimore,OU=CyberTrust,CN=BaltimoreCyberTrustRoot.pem
issuer=C=SE,O=AddTrustAB,OU=AddTrustExternalTTPNetwork,CN=AddTrustExternalCARoot.pem
issuer=C=US,O=AffirmTrust,CN=AffirmTrustCommercial.pem
issuer=C=US,O=AffirmTrust,CN=AffirmTrustNetworking.pem
issuer=C=US,O=AffirmTrust,CN=AffirmTrustPremiumECC.pem
issuer=C=US,O=AffirmTrust,CN=AffirmTrustPremium.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertAssuredIDRootCA.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertAssuredIDRootG2.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertAssuredIDRootG3.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertGlobalRootCA.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertGlobalRootG2.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertGlobalRootG3.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertHighAssuranceEVRootCA.pem
issuer=C=US,O=DigiCertInc,OU=www.digicert.com,CN=DigiCertTrustedRootG4.pem
issuer=C=US,O=Entrust,Inc.,OU=Seewww.entrust.net_legal-terms,OU=(c)2009Entrust,Inc.-forauthorizeduseonly,CN=EntrustRootCertificationAuthority-G2.pem
issuer=C=US,O=Entrust,Inc.,OU=Seewww.entrust.net_legal-terms,OU=(c)2012Entrust,Inc.-forauthorizeduseonly,CN=EntrustRootCertificationAuthority-EC1.pem
issuer=C=US,O=Entrust,Inc.,OU=www.entrust.net_CPSisincorporatedbyreference,OU=(c)2006Entrust,Inc.,CN=EntrustRootCertificationAuthority.pem
issuer=C=US,O=GeoTrustInc.,CN=GeoTrustGlobalCA.pem
issuer=C=US,O=GoogleTrustServicesLLC,CN=GTSRootR1.pem
issuer=C=US,O=GoogleTrustServicesLLC,CN=GTSRootR2.pem
issuer=C=US,O=GoogleTrustServicesLLC,CN=GTSRootR3.pem
issuer=C=US,O=GoogleTrustServicesLLC,CN=GTSRootR4.pem
issuer=C=US,O=StarfieldTechnologies,Inc.,OU=StarfieldClass2CertificationAuthority.pem
issuer=C=US,O=TheGoDaddyGroup,Inc.,OU=GoDaddyClass2CertificationAuthority.pem
issuer=C=US,ST=Arizona,L=Scottsdale,O=GoDaddy.com,Inc.,CN=GoDaddyRootCertificateAuthority-G2.pem
issuer=C=US,ST=Arizona,L=Scottsdale,O=StarfieldTechnologies,Inc.,CN=StarfieldRootCertificateAuthority-G2.pem
issuer=C=US,ST=NewJersey,L=JerseyCity,O=TheUSERTRUSTNetwork,CN=USERTrustECCCertificationAuthority.pem
issuer=C=US,ST=NewJersey,L=JerseyCity,O=TheUSERTRUSTNetwork,CN=USERTrustRSACertificationAuthority.pem
issuer=O=Cybertrust,Inc,CN=CybertrustGlobalRoot.pem
issuer=O=Entrust.net,OU=www.entrust.net_CPS_2048incorp.byref.(limitsliab.),OU=(c)1999Entrust.netLimited,CN=Entrust.netCertificationAuthority(2048).pem
issuer=OU=GlobalSignECCRootCA-R4,O=GlobalSign,CN=GlobalSign.pem
issuer=OU=GlobalSignECCRootCA-R5,O=GlobalSign,CN=GlobalSign.pem
issuer=OU=GlobalSignRootCA-R2,O=GlobalSign,CN=GlobalSign.pem
issuer=OU=GlobalSignRootCA-R3,O=GlobalSign,CN=GlobalSign.pem
issuer=OU=GlobalSignRootCA-R6,O=GlobalSign,CN=GlobalSign.pem
roots.pem
Kemudian, file PEM issuer=….pem dapat diimpor satu per satu, atau dikonversi lebih lanjut ke format file yang diterima oleh penyimpanan sertifikat Anda.

Bagaimana cara mengonversi file PEM ke format yang didukung oleh sistem saya?

Alat command line toolkit openssl OpenSSL dapat digunakan untuk mengonversi file ke semua format file sertifikat yang umum digunakan. Petunjuk untuk mengonversi file PEM ke format file sertifikat yang paling umum digunakan tercantum di bawah.

Untuk daftar lengkap opsi yang tersedia, lihat dokumentasi Utilitas Command Line OpenSSL resmi.

Untuk mengetahui petunjuk cara mendapatkan openssl, lihat bagian Mendapatkan OpenSSL.

Bagaimana cara mengonversi file PEM ke format DER?

Dengan menggunakan openssl, Anda dapat memberikan perintah berikut untuk mengonversi file dari PEM ke DER:
openssl x509 -in roots.pem -outform der -out roots.der

Bagaimana cara mengonversi file PEM ke PKCS #7?

Dengan menggunakan openssl, Anda dapat memberikan perintah berikut untuk mengonversi file dari PEM ke PKCS #7:
openssl crl2pkcs7 -nocrl -certfile roots.pem -out roots.p7b

Bagaimana cara mengonversi file PEM ke PKCS #12 (PFX)?

Dengan menggunakan openssl, Anda dapat memberikan perintah berikut untuk mengonversi file dari PEM ke PKCS #12:
openssl pkcs12 -export -info -in roots.pem -out roots.p12 -nokeys

Anda harus membuat sandi untuk file saat membuat arsip PKCS #12, pastikan untuk menyimpan sandi di tempat yang aman, jika Anda tidak langsung mengimpor file PKCS #12 ke dalam sistem.

Bagaimana cara mengekspor sertifikat dari penyimpanan sertifikat NSS sebagai file PEM?

Lihat dokumentasi alat certutil Mozilla NSS, serta diskusi situs komunitas Red Hat mengekspor sertifikat dari cert8.db sebagai file .pem.

Bagaimana cara mencetak sertifikat PEM dalam bentuk yang dapat dibaca manusia?

Pada contoh berikut, kami menganggap Anda memiliki file GlobalSign_Root_CA_-_R2.pem dengan konten berikut:
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----

Mencetak sertifikat menggunakan OpenSSL

Mengeluarkan perintah
openssl x509 -in GlobalSign_Root_CA_-_R2.pem -text
akan menghasilkan baris berikut sebelum sertifikat:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            04:00:00:00:00:01:0f:86:26:e6:0d
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
        Validity
            Not Before: Dec 15 08:00:00 2006 GMT
            Not After : Dec 15 08:00:00 2021 GMT
        Subject: OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a6:cf:24:0e:be:2e:6f:28:99:45:42:c4:ab:3e:
                    21:54:9b:0b:d3:7f:84:70:fa:12:b3:cb:bf:87:5f:
                    c6:7f:86:d3:b2:30:5c:d6:fd:ad:f1:7b:dc:e5:f8:
                    60:96:09:92:10:f5:d0:53:de:fb:7b:7e:73:88:ac:
                    52:88:7b:4a:a6:ca:49:a6:5e:a8:a7:8c:5a:11:bc:
                    7a:82:eb:be:8c:e9:b3:ac:96:25:07:97:4a:99:2a:
                    07:2f:b4:1e:77:bf:8a:0f:b5:02:7c:1b:96:b8:c5:
                    b9:3a:2c:bc:d6:12:b9:eb:59:7d:e2:d0:06:86:5f:
                    5e:49:6a:b5:39:5e:88:34:ec:bc:78:0c:08:98:84:
                    6c:a8:cd:4b:b4:a0:7d:0c:79:4d:f0:b8:2d:cb:21:
                    ca:d5:6c:5b:7d:e1:a0:29:84:a1:f9:d3:94:49:cb:
                    24:62:91:20:bc:dd:0b:d5:d9:cc:f9:ea:27:0a:2b:
                    73:91:c6:9d:1b:ac:c8:cb:e8:e0:a0:f4:2f:90:8b:
                    4d:fb:b0:36:1b:f6:19:7a:85:e0:6d:f2:61:13:88:
                    5c:9f:e0:93:0a:51:97:8a:5a:ce:af:ab:d5:f7:aa:
                    09:aa:60:bd:dc:d9:5f:df:72:a9:60:13:5e:00:01:
                    c9:4a:fa:3f:a4:ea:07:03:21:02:8e:82:ca:03:c2:
                    9b:8f
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                9B:E2:07:57:67:1C:1E:C0:6A:06:DE:59:B4:9A:2D:DF:DC:19:86:2E
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://crl.globalsign.net/root-r2.crl

            X509v3 Authority Key Identifier:
                keyid:9B:E2:07:57:67:1C:1E:C0:6A:06:DE:59:B4:9A:2D:DF:DC:19:86:2E

    Signature Algorithm: sha1WithRSAEncryption
         99:81:53:87:1c:68:97:86:91:ec:e0:4a:b8:44:0b:ab:81:ac:
         27:4f:d6:c1:b8:1c:43:78:b3:0c:9a:fc:ea:2c:3c:6e:61:1b:
         4d:4b:29:f5:9f:05:1d:26:c1:b8:e9:83:00:62:45:b6:a9:08:
         93:b9:a9:33:4b:18:9a:c2:f8:87:88:4e:db:dd:71:34:1a:c1:
         54:da:46:3f:e0:d3:2a:ab:6d:54:22:f5:3a:62:cd:20:6f:ba:
         29:89:d7:dd:91:ee:d3:5c:a2:3e:a1:5b:41:f5:df:e5:64:43:
         2d:e9:d5:39:ab:d2:a2:df:b7:8b:d0:c0:80:19:1c:45:c0:2d:
         8c:e8:f8:2d:a4:74:56:49:c5:05:b5:4f:15:de:6e:44:78:39:
         87:a8:7e:bb:f3:79:18:91:bb:f4:6f:9d:c1:f0:8c:35:8c:5d:
         01:fb:c3:6d:b9:ef:44:6d:79:46:31:7e:0a:fe:a9:82:c1:ff:
         ef:ab:6e:20:c4:50:c9:5f:9d:4d:9b:17:8c:0c:e5:01:c9:a0:
         41:6a:73:53:fa:a5:50:b4:6e:25:0f:fb:4c:18:f4:fd:52:d9:
         8e:69:b1:e8:11:0f:de:88:d8:fb:1d:49:f7:aa:de:95:cf:20:
         78:c2:60:12:db:25:40:8c:6a:fc:7e:42:38:40:64:12:f7:9e:
         81:e1:93:2e

Untuk mengetahui petunjuk cara mendapatkan openssl, lihat bagian Mendapatkan OpenSSL.

Mencetak sertifikat menggunakan keytool Java

Mengeluarkan perintah berikut
keytool -printcert -file GlobalSign_Root_CA_-_R2.pem
akan memberikan output berikut:
Owner: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R2
Issuer:
CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R2
Serial number:
400000000010f8626e60d
Valid from: Fri Dec 15 09:00:00 CET 2006 until: Wed Dec 15
09:00:00 CET 2021
Certificate fingerprints:
   MD5:
94:14:77:7E:3E:5E:FD:8F:30:BD:41:B0:CF:E7:D0:30
   SHA1:
75:E0:AB:B6:13:85:12:27:1C:04:F8:5F:DD:DE:38:E4:B7:24:2E:FE
   SHA256:
CA:42:DD:41:74:5F:D0:B8:1E:B9:02:36:2C:F9:D8:BF:71:9D:A1:BD:1B:1E:FC:94:6F:5B:4C:99:F4:2C:1B:9E
   Signature algorithm name: SHA1withRSA
   Version: 3

Extensions:

#1:
ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 9B E2 07 57 67 1C 1E C0   6A 06 DE 59 B4 9A 2D DF  ...Wg...j..Y..-.
0010:
DC 19 86 2E                                        ....
]
]

#2: ObjectId:
2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]
#3: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
[DistributionPoint:
     [URIName: http://crl.globalsign.net/root-r2.crl]
]]
#4: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]
#5: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 9B E2 07 57 67 1C 1E C0   6A 06 DE 59 B4 9A 2D DF  ...Wg...j..Y..-.
0010:
DC 19 86 2E                                        ....
]
]

Untuk mengetahui petunjuk cara mendapatkan keytool, lihat bagian Mendapatkan keytool Java.

Bagaimana cara melihat sertifikat yang diinstal di penyimpanan sertifikat saya?

Ini berbeda untuk setiap sistem operasi dan library SSL/TLS. Namun, alat yang memungkinkan pengimporan dan pengeksporan sertifikat ke dan dari penyimpanan sertifikat biasanya juga memberikan opsi untuk mencantumkan sertifikat yang diinstal.

Selain itu, jika Anda telah berhasil mengekspor root certificate tepercaya ke dalam file PEM, atau penyimpanan sertifikat Anda sudah berisi file PEM yang disimpan, Anda dapat mencoba membuka file tersebut di editor teks apa pun, karena itu adalah format file teks biasa.

File PEM dapat diberi label yang sesuai, sehingga memberikan informasi yang mudah dibaca tentang certificate authority terkait (misalnya dari file PEM sampel Google):

# Operating CA: GlobalSign
# Issuer: CN=GlobalSign O=GlobalSign OU=GlobalSign Root CA - R2
# Subject: CN=GlobalSign O=GlobalSign OU=GlobalSign Root CA - R2
# Label: "GlobalSign Root CA - R2"
# Serial: 4835703278459682885658125
# MD5 Fingerprint: 94:14:77:7e:3e:5e:fd:8f:30:bd:41:b0:cf:e7:d0:30
# SHA1 Fingerprint: 75:e0:ab:b6:13:85:12:27:1c:04:f8:5f:dd:de:38:e4:b7:24:2e:fe
# SHA256 Fingerprint: ca:42:dd:41:74:5f:d0:b8:1e:b9:02:36:2c:f9:d8:bf:71:9d:a1:bd:1b:1e:fc:94:6f:5b:4c:99:f4:2c:1b:9e
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----

File mungkin juga hanya berisi bagian sertifikat. Dalam kasus seperti ini, nama file, seperti GlobalSign_Root_CA_-_R2.pem dapat menjelaskan CA yang menerbitkan sertifikat tersebut. String sertifikat antara token -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE----- dijamin unik untuk setiap CA, dan Anda dapat dengan mudah membandingkan string ini di antara file PEM, jika tidak dapat mengidentifikasi CA.

Oleh karena itu, Anda dapat membandingkan setiap sertifikat di file PEM sampel Google dengan file PEM yang diekstrak dari penyimpanan sertifikat Anda. Setiap sertifikat di paket root CA Google diberi label yang sesuai, sehingga Anda dapat dengan mudah memverifikasi sertifikat mana yang sudah Anda miliki di penyimpanan sertifikat dan mengidentifikasi sertifikat mana yang masih perlu ditambahkan, meski file PEM di penyimpanan sertifikat Anda tidak diberi label.

Untuk petunjuk khusus ponsel, lihat pertanyaan terpisah Bagaimana cara memeriksa root certificate tepercaya di ponsel saya?.

Lampiran

Perlu info lebih lanjut?

Selalu utamakan mengandalkan dokumentasi sistem operasi, dokumentasi bahasa pemrograman aplikasi, serta dokumentasi dari library eksternal yang digunakan aplikasi Anda.

Segala sumber informasi lainnya termasuk FAQ ini mungkin sudah tidak berlaku lagi atau salah, dan tidak boleh dianggap bersifat otoritatif. Namun, Anda dapat menemukan informasi yang berguna di banyak komunitas Tanya Jawab Stack Exchange, serta situs seperti AdamW on Linux and more dan blog konfirmasi, di antara lainnya. Lihat juga FAQ GTS, serta artikel Cara Menggunakan Sertifikat X.509 dan SSL untuk Komunikasi Aman.

Untuk detail selengkapnya tentang topik lanjutan, seperti penyematan sertifikat, Anda dapat membaca artikel Open Web Application Security Project (OWASP) dan tips praktis. Untuk petunjuk khusus Android, lihat dokumen pelatihan resmi Praktik Terbaik Android untuk Keamanan & Privasi Keamanan dengan HTTPS dan SSL. Untuk diskusi tentang penyematan sertifikat vs. kunci publik di Android, Anda dapat melihat postingan blog Matthew Dolan Keamanan Android: Penyematan SSL (hanya dalam bahasa Inggris)

Dokumen pelatihan Praktik Terbaik Android untuk Keamanan & Privasi Konfigurasi Keamanan Jaringan dan postingan blog JeroenHD Android 7 Nougat dan certificate authority (hanya dalam bahasa Inggris) memberikan informasi lebih lanjut tentang cara mengelola sertifikat tepercaya tambahan di Android.

Untuk daftar lengkap root CA yang dipercaya oleh AOSP, lihat repositori Git Sertifikat CA. Untuk versi berbasis fork Android tidak resmi, misalnya, LineageOS, lihat repositori yang sesuai yang disediakan oleh vendor OS.