Zero-Touch Trust

Ubah Tantangan 47 Hari Menjadi Keunggulan Kompetitif Anda

Strategi Automation Penuh untuk Menghilangkan Gangguan Operasional di Masa Depan

Overview

Executive Summary

📅

Perubahan Regulasi
Masa berlaku certificate SSL/TLS akan dipangkas dari 398 hari menjadi 47 hari pada tahun 2029
⚡

Automation adalah Keharusan
Automation bukan lagi opsi, melainkan syarat bertahan hidup
⚠️

Critical Window
September 2026 adalah deadline untuk implementasi automation — persiapkan sekarang untuk menghindari service outage

Latar Belakang & Pemicu

Maret 2023: Inisiasi Google

Moving Forward, Together

Maret 2023

Pemicu Awal

Google Chrome merilis roadmap bertajuk "Moving Forward, Together" yang secara eksplisit mengusulkan pengurangan masa berlaku sertifikat TLS publik menjadi 90 hari.

Tujuan Utama
Memaksa industri beralih dari proses manual yang rentan error menuju otomatisasi penuh
Meningkatkan "Crypto-Agility" — kesiapan mengganti kunci enkripsi dengan cepat menghadapi ancaman komputer kuantum

Langkah ini menandai awal dari transformasi fundamental dalam cara industri mengelola sertifikat digital.

Latar Belakang & Pemicu

2024–2025: Eskalasi Apple

Target Diubah Menjadi 47 Hari

🍎

Intervensi Apple
Meskipun diskusi awal berfokus pada 90 hari (siklus kuartalan), Apple mengajukan proposal yang lebih agresif melalui Ballot SC-81. Target diubah menjadi 47 hari.
🧮

Formula 47 Hari
30 hari siklus operasional + 17 hari Buffer Operasional
💡

Logika di Balik Keputusan
Jika tetap 90 hari, admin IT masih mungkin melakukan pembaruan manual setiap 3 bulan. 47 hari membuat cara manual mustahil dilakukan.

Latar Belakang & Pemicu

April 2025: Peresmian Ballot SC-81

Konsensus Browser Tercapai

📜

Konsensus Browser
Ballot SC-81 disahkan secara resmi pada April 2025. Proposal ini disponsori oleh Sectigo dan didukung secara bulat oleh program root browser utama.
🌐

Dukungan Universal
Apple Google Microsoft Mozilla
🎯

Penyatuan Visi
Google akhirnya mendukung target 47 hari dari Apple karena menyadari bahwa ini menciptakan standar tunggal yang tidak bisa ditawar lagi oleh CA maupun subscriber.

Roadmap Implementasi

Timeline Pengurangan Masa Berlaku Sertifikat

Certificate Validity Period

Periode	Global (Hard Limit)	Practical (Sectigo)	Implikasi Langganan 1 Tahun
Sekarang - 14 Mar 2026	398 hari	397 hari	1x Issuance mencukupi
Mulai 15 Mar 2026	200 hari	199 hari	Minimum 2x Issuance
Mulai 15 Mar 2027	100 hari	99 hari	~4x Issuance
Mulai 15 Mar 2029	47 hari	46 hari	~8x Issuance

Safety Margin: Let's Encrypt pernah menerbitkan sertifikat 90 hari + 1 detik dan harus mencabut jutaan sertifikat. "If you're over by a second, you're over."

Roadmap Implementasi

Timeline Pengurangan DCV & OV/EV Reuse

🔐 DCV (Domain Control Validation) Reuse

Periode	Hard Limit	Dampak Operasional
Sekarang - 14 Mar 2026	398 hari	~Validasi tahunan
Mulai 15 Mar 2026	200 hari	Setiap ~6 bulan
Mulai 15 Mar 2027	100 hari	Setiap ~3 bulan
Mulai 15 Mar 2029	10 hari	Hampir mingguan!

🏢 OV/EV (Organization Validation) Reuse

Periode	Hard Limit	Catatan
Sekarang - 14 Mar 2026	825 hari	Sectigo: 365 hari
Mulai 15 Mar 2026	398 hari	Sectigo tetap tahunan
Mulai 15 Mar 2027	398 hari	Tidak ada perubahan
Mulai 15 Mar 2029	398 hari	Tidak ada perubahan

📌 Strategic Note: DCV harus dilakukan lebih sering dari OV/EV. Untuk langganan 1 tahun (mulai 2026), DCV perlu 2x (order + reissue), tapi OV/EV hanya 1x.

Roadmap Implementasi

Critical Milestones Timeline

2026

14 Mar 2026

Hari terakhir sertifikat 398 hari
Hari terakhir DCV reuse >199 hari
Hari terakhir OV reuse >366 hari

15 Mar 2026

Max term: 199 hari
Max DCV reuse: 199 hari
Max OV reuse: 366 hari

30 Sep 2026

Sertifikat 6-bulan mulai expire
"Outage Point" dimulai

2027

14 Mar 2027

Hari terakhir sertifikat 199 hari
Hari terakhir DCV reuse >99 hari
Mayoritas sertifikat 1 tahun expire

15 Mar 2027

Max term: 99 hari
DCV reuse turun ke 99 hari

16 Apr 2027

Akhir total sertifikat 1 tahun

22 Jun 2027

Sertifikat 3-bulan mulai expire

29 Sep 2027

Akhir sertifikat 6-bulan aktif

2029

14 Mar 2029

Hari terakhir sertifikat 99 hari
Hari terakhir DCV reuse >9 hari

15 Mar 2029

Max term: 46 hari
DCV reuse: 9 hari
~8x issuance per tahun wajib

30 Apr 2029

Sertifikat 1-bulan mulai expire
Automasi penuh wajib

Mengapa Perubahan Ini?

Mengapa Siklus Hidup yang Lebih Pendek Lebih Baik

🔒

1. Peningkatan Keamanan

Konsep "Fail-Safe"

Sertifikat yang dikompromikan akan "mati secara alami" dalam waktu singkat, menutup jendela risiko.

⚡

2. Crypto-Agility

Kesiapan Post-Quantum Cryptography

Mengganti algoritma enkripsi yang rentan dengan kunci tahan-kuantum dalam waktu <2 bulan.

📊

3. Efisiensi Operasional

Eliminasi "Metode Spreadsheet"

Beban kerja 8-10x lipat memaksa standarisasi menggunakan protokol otomatisasi.

🔄

4. Agilitas & Fleksibilitas

ACME Renewal Information (ARI)

CA dapat memberikan sinyal kepada jutaan server untuk renew seketika jika ditemukan kerentanan.

Adopsi Praktik Terbaik: Automasi bukan lagi opsi, melainkan syarat bertahan hidup. Praktik "Zero-Touch" menjadi satu-satunya cara.

Konteks Lokal

Relevansi Khusus untuk Indonesia

Berdasarkan laporan "Southeast Asia SSL Automation Readiness"

🏦

Mandat OJK untuk Perbankan
Regulasi Otoritas Jasa Keuangan bagi perbankan Indonesia memastikan ketahanan sistem — kemampuan mengganti kunci (re-keying) secara cepat dan otomatis.
📋

Mematikan "Metode Spreadsheet"
Kebiasaan manajemen sertifikat berbasis spreadsheet masih dominan di perusahaan Indonesia. Ini menjadi bom waktu bagi outage layanan.
🌐

Ekosistem Reseller (cPanel/WHMCS)
Adopsi praktik Zero-Touch adalah satu-satunya cara agar penyedia hosting lokal tidak kewalahan menangani tiket komplain pelanggan saat siklus 47 hari berlaku.

Multi-Year Subscription

Konsep Langganan Multi-Tahun

Karena masa berlaku sertifikat dibatasi regulasi (maksimal 200 hari), produk ini dijual dalam bentuk Subscription.
Pelanggan membeli validitas 1 tahun, namun secara teknis akan menerima beberapa sertifikat berurutan selama periode tersebut.

1-YEAR SUBSCRIPTION (365 DAYS)

CERTIFICATE #1

199 hari

Order & Payment
Submit CSR
DCV + OV/EV
Issue Cert #1

CERTIFICATE #2

166 hari

Reissue reminder H-30
Reissue process
Reuse DCV atau Re-DCV
Issue Cert #2

Day 1 ─────────────────► Day 199 ─────────────────► Day 365

Catatan: Mulai Maret 2026, setiap langganan 1 tahun memerlukan minimal 2x issuance sertifikat.

Multi-Year Subscription

Penjelasan Detail Langganan

Timeline Langganan 1 Tahun (Mulai 15 Maret 2026)

15 Mar 2026

Pemesanan Baru

Mulai langganan 1 tahun. Submit CSR, DCV + OV/EV.

Cert #1 Aktif

Sertifikat pertama valid hingga 30 Sep 2026.

199 HARI

31 Agu 2026

Pengingat Reissue

H-30 sebelum Cert #1 expired, reminder Reissue dikirim.

Proses Reissue

Gunakan CSR awal (DCV Reuse) atau Re-DCV jika CSR baru.

Cert #2 Aktif

Sertifikat kedua valid hingga 15 Mar 2027.

197 HARI

15 Mar 2027

Akhir Langganan

Total perlindungan: 365 hari.

EXPIRED

Total: 1 tahun langganan = 2 sertifikat = 365 hari perlindungan penuh.

Multi-Year Subscription

Perbandingan Proses

Sebelum vs Sesudah Maret 2026

Aspek Perbandingan	SEBELUM Max. 397 Hari	SESUDAH Max. 199 Hari
Jumlah Sertifikat	1 Sertifikat untuk 1 tahun langganan.	2 Sertifikat untuk 1 tahun langganan.
Masa Berlaku	Langsung valid selama 365 hari atau lebih.	Sertifikat #1 (199 hari) + Sertifikat #2 (sisa hari).
Aktivitas Tengah Tahun	Tidak ada. Selesai setelah instalasi awal.	Wajib Reissue di pertengahan masa langganan.
Metode Validasi	Validasi (DCV/OV) hanya di awal.	Reissue otomatis dengan CSR awal, atau re-DCV jika ada CSR baru.
Beban Kerja (Manual)	Rendah (Set and Forget).	Tinggi (Perlu monitoring & instalasi ulang).

Kesimpulan: Tanpa automasi, beban kerja manual akan meningkat signifikan mulai Maret 2026.

Multi-Year Subscription

Phase 1: Subscription Onboarding & Primary Issuance

Alur Aktivasi Langganan & Penerbitan Sertifikat Pertama

CUSTOMER                KICA (RA)             SECTIGO (CA)
   │                        │                      │
   │ 1. Activate Sub (1-Yr) │                      │
   │ ─────────────────────► │                      │
   │                        │                      │
   │                        │ 2. Auto-Provisioning │
   │                        │ ───────────────────► │
   │                        │                      │
   │   3. DCV Request       │                      │
   │ ◄──────────────────────────────────────────── │
   │                        │                      │
   │ 4. Domain Verification │                      │
   │ ────────────────────────────────────────────► │
   │                        │                      │
   │                        │ 5. Cert Issuance     │
   │                        │ ◄─────────────────── │
   │                        │                      │
   │ 6. Provisioned Cert #1 │                      │
   │ ◄───────────────────── │                      │
   │    (Valid 199 Days)    │                      │

Multi-Year Subscription

Phase 2: Compliance-Driven Lifecycle Management

Alur Reissue Sertifikat (H-30 sebelum Expired)

CUSTOMER                KICA (RA)             SECTIGO (CA)
   │                           │                       │
   │ 1. Alert (H-30 Expiry)    │                       │
   │ ◄─────────────────────    │                       │
   │                           │                       │
   │ 2. Reissue Trigger        │                       │
   │ ─────────────────────►    │                       │
   │                           │                       │
   │───────────────────────────┼───────────────────────│
   │  SCENARIO A: SAME CSR     │  SCENARIO B: NEW CSR  │
   ├───────────────────────────┼───────────────────────┤
   │                           │                       │
   │ 3a. Initial CSR           │ 3b. New CSR           │
   │ ─────────────────────►    │ ─────────────────────►│
   │      (Reuse DCV)          │      (re-DCV)         │
   │                           │                       │
   │ 4a. Cert #2 ◄─────────    │ 4b. Re-Validation Req │
   │                           │ ◄─────────────────────│
   │                           │                       │
   │                           │ 5b. Domain Verify     │
   │                           │ ─────────────────────►│
   │                           │                       │
   │                           │ 6b. Cert #2 ◄─────────│

✅ SCENARIO A: Technical Continuity

Menggunakan CSR yang sama. DCV dapat di-reuse. Proses lebih cepat dan otomatis.

🔄 SCENARIO B: New Security Environment

CSR baru diperlukan. Memerlukan re-DCV. Proses membutuhkan aksi tambahan.

New Feature

Manage DCV

Memungkinkan partner dan customer KICA untuk mendelegasikan validasi domain melalui one-time CNAME setup.

Fitur ini akan segera diintegrasikan dengan sistem KICA yang ada.

📊 Perbandingan Metrik Bisnis

Metric	Current State	Target State
Customer DCV effort	Manual untuk setiap order/renewal	One-time setup
Support untuk DCV	High volume	Reduce 80%
Time to certificate issuance	Depends on customer action	Fully automated
Multi-year subscription friction	High (repeated DCV)	Eliminated

Key Benefit: Mengurangi beban operasional hingga 80% dan meningkatkan customer experience secara signifikan.

Manage DCV

Current State: Manual DCV Flow

Proses validasi domain saat ini memerlukan aksi manual berulang

📊 Alur Proses Manual

   PARTNER          KICA            SECTIGO          CUSTOMER
   (Portal)       (System)           (CA)             (DNS)
      │              │                 │                │
      │  1. Order    │                 │                │
      │─────────────>│                 │                │
      │              │  2. Submit      │                │
      │              │────────────────>│                │
      │              │  3. DCV Token   │                │
      │              │<────────────────│                │
      │  4. Display  │                 │                │
      │<─────────────│                 │                │
      │              │                 │                │
      │  5. [!] MANUAL: Create DNS CNAME Record         │
      │────────────────────────────────────────────────>│
      │              │                 │  6. Query DNS  │
      │              │                 │───────────────>│
      │              │  8. Validated   │  7. Response   │
      │              │<────────────────│<───────────────│
      │  9. Ready    │                 │                │
      │<─────────────│                 │                │

⚠️

BOTTLENECK: Step 5 memerlukan aksi manual untuk setiap issuance/renewal. Tidak scalable untuk siklus 47 hari.

Manage DCV

Target State: Fully Automated DCV

Solusi delegasi validasi domain melalui one-time CNAME setup

🔧 STEP 0: ONE-TIME SETUP

_pki-validation.customer.com CNAME customer-com.dcv.sslsectigo.id

📊 Alur Proses Otomatis

  PARTNER       KICA        SECTIGO       CUSTOMER          KICA
| (Portal)     (System)       (CA)          (DNS)           (DNS)
|    │             │            │              │               │
|    │  1. Order   │            │              │               │
|    │────────────>│            │              │               │
|    │             │  2. Submit │              │               │
|    │             │───────────>│              │               │
|    │             │  3. Token  │              │               │
|    │             │<───────────│              │               │
|    │             │  4. [AUTO] Update TXT Record              │
|    │             │──────────────────────────────────────────>│
|    │             │            │ 5. Query DNS │               │
|    │             │            │─────────────>│  6. Follow    │
|    │             │            │              │──────────────>│
|    │             │            │ 7. Return TXT Value via CNAME│
|    │             │            │<─────────────────────────────│
|    │             │ 8. Valid   │              │               │
|    │             │<───────────│              │               │
|    │  9. Ready   │            │              │               │
|    │<────────────│            │              │               │

✅

BENEFIT: Zero manual steps setelah setup awal. Siap untuk siklus 46 hari (2029-ready).

Automation

Mitos vs Realitas Automasi

❌ Mitos	✅ Realitas
FALSE "CLM saya sudah otomatis."	TRUE Kebanyakan alat vendor lain hanyalah sistem notifikasi, bukan automasi penuh end-to-end.
FALSE "Manajemen kunci terpusat = Automasi."	TRUE Kunci terpusat tidak menjamin pengelolaan sertifikat end-to-end pada perangkat akhir.
FALSE "Automasi butuh terlalu banyak waktu/usaha."	TRUE Automasi seringkali lebih sederhana dan cepat dari yang diperkirakan dengan tools yang tepat.

Key Insight: Automasi bukan lagi opsional untuk 2029. Mulai sekarang atau hadapi "Outage Point" di September 2026.

Automation

Perbandingan: Manual vs Automasi CLM

Manfaat	❌ CLM Manual	✅ CLM Otomatis
Waktu per Sertifikat	30 - 60 menit	< 5 menit
Risiko Outage	Tinggi (Cert Expired/Human Error)	Sangat Rendah
Produktivitas Staf	Rendah (Fokus troubleshooting)	Tinggi (Fokus pekerjaan strategis)
Kesiapan Kepatuhan	Ad-hoc (berbasis spreadsheet)	Kontinu (Audit otomatis)
Postur Keamanan	Reaktif	Proaktif

Solusi Sectigo

Certificate as a Service (CaaS)

Future-proof your DV and OV certificate strategy with CaaS subscription model, pay per domain, issue without limits, automate and grow without bounds.

Certificate as a Service (CaaS) adalah model langganan berbasis ACME yang memungkinkan organisasi untuk menerbitkan certificate SSL/TLS secara unlimited untuk domain yang terdaftar. Dengan CaaS, Anda tidak perlu lagi membeli certificate satu per satu — cukup bayar per domain, dan terbitkan sebanyak yang Anda butuhkan.

CaaS dirancang khusus untuk mendukung certificate jangka pendek (90 hari) yang menjadi standar industri baru, sambil menghilangkan proses manual yang memakan waktu. Solusi ini ideal untuk organisasi yang ingin mengadopsi automation penuh dalam manajemen certificate mereka.

💰 Efisiensi Biaya Maksimal

Satu langganan domain = unlimited issuance. Tidak ada biaya tersembunyi atau batasan jumlah penerbitan.

⚡ Automasi 100%

ACME protocol menangani validasi, penerbitan, dan renewal secara otomatis tanpa intervensi manual.

🔒 Keamanan Modern

Certificate jangka pendek (90 hari) mengurangi window of exposure dan meningkatkan postur keamanan.

Automation Berbasis ACME
Penerbitan, validasi, dan manajemen siklus hidup certificate secara otomatis dengan standar industri.

Certificate Jangka Pendek (90 Hari)
Default durasi maksimal 90 hari, ideal untuk mitigasi risiko keamanan.

Efisiensi Biaya
Model langganan per domain — issuance unlimited tanpa biaya tambahan.

Eliminasi Proses Manual
Tidak ada copy-paste CSR, validasi manual, atau menunggu email confirmation.

Dukungan DV & OV SSL
Mendukung penuh Domain Validation dan Organization Validation.

Manajemen Organisasi Otomatis
Auto-renewal dan auto-reassignment untuk validasi organisasi (OV).

Fleksibilitas Langganan
Tersedia dalam jangka waktu 1, 2, atau 3 tahun.

Kompatibilitas Luas
Integrasi dengan Certbot, acme.sh, lego, dan Posh-ACME.

Solusi Sectigo

Sectigo Certificate Manager (SCM)

Platform terpusat untuk manajemen sertifikat publik dan privat di berbagai CA

Sectigo Certificate Manager (SCM) menyederhanakan manajemen certificate publik dan privat di berbagai Certificate Authority (CA) dengan satu platform terpusat, menawarkan visibilitas lengkap dan kontrol yang disesuaikan untuk kebutuhan perusahaan skala besar saat ini.

Seiring berkembangnya identitas digital di seluruh perusahaan, SCM menjadi bagian integral untuk menerbitkan certificate guna mengautentikasi dan mengamankan setiap identitas manusia dan mesin. Pelanggan dapat mengotomatiskan penerbitan dan manajemen certificate digital Sectigo, bersama dengan certificate dari CA publik lainnya serta CA privat seperti Microsoft ADCS, AWS, dan GCP.

Solusi All-in-One SCM

Issuance

Installation

Renewal

Monitoring

Governance

Compliance

Mengapa Perusahaan Memilih SCM?

Provisioning dan renewal dalam hitungan detik — Hindari outages dan hemat waktu berharga.

Pantau setiap certificate dengan visibilitas penuh — Kontrol dan visibilitas 100%.

Bekerja dengan berbagai Certificate Authority — Kelola certificate dari CA mana pun.

Tampilan terpusat, kontrol penuh — Single pane of glass untuk semua kebutuhan.

Manfaatkan kekuatan platform terpadu — Solusi CA dan CLM all-in-one dari Sectigo.

Siap untuk saat ini, mudah untuk scale — 50+ integrasi bisnis krusial.

Keamanan yang future-proof — Crypto agility dengan dukungan ahli untuk beradaptasi.

The Digital Certificates Struggle is Real

Terlalu banyak certificate, terlalu sedikit visibilitas — Mengelola SSL/TLS sangat kacau.

Masa berlaku lebih pendek, pusing lebih besar — Pembaruan sering menambah tekanan kerja.

Kepemilikan terpencar, pelacakan terkotak-kotak — Kebingungan tanpa akhir di berbagai tim.

Proses manual, kesalahan berbiaya tinggi — Celah keamanan dan service outage.

Tanpa automation, efisiensi rendah — OPEX lebih tinggi, respons lebih lambat.

Tanpa unifikasi, tanpa visibilitas — Blind spots menciptakan risiko keamanan.

Next Steps

Panduan Strategis 5 Langkah Menuju Resiliensi

Awareness & Discovery

Petakan setiap sertifikat di lingkungan internal, eksternal, dan shadow IT untuk menghilangkan blind spots.

Vendor & Application Mapping

Hubungkan sertifikat dengan aplikasi/layanan dependen dan tentukan kepemilikan yang jelas.

Automation & PQC Readiness

Petakan teknologi automasi untuk perpendek masa berlaku DCV dan kaji kesiapan Post-Quantum Cryptography (PQC).

Rollout Plan

Bangun peta jalan transisi dengan skala prioritas, sumber daya, dan matriks RACI yang jelas.

Crypto Agility

Bangun resiliensi jangka panjang melalui Cryptographic Center of Excellence (CCoE) untuk mendukung inisiatif Zero Trust.

Mari Bergerak Bersama

Hubungi kami untuk strategi implementasi Zero-Touch Trust

📧 Email: support.id@daousign.com

🌐 Website: www.daousign.com

📞 Phone: +62 856 1700 647