Pelan tapi pasti, dunia keamanan internet sedang menghapus satu kebiasaan lama: mempercayakan stabilitas sistem digital pada ingatan manusia. Keputusan CA/Browser Forum untuk memangkas masa berlaku sertifikat SSL/TLS hingga hanya 47 hari—berlaku penuh pada 2029—bukan sekadar perubahan teknis. Ia adalah koreksi atas ilusi lama bahwa keamanan bisa dijaga dengan prosedur manual.
Selama bertahun-tahun, sertifikat SSL diperlakukan seperti dokumen administrasi: diterbitkan setahun sekali, dicatat di spreadsheet, diperpanjang menjelang kedaluwarsa. Model ini tampak rapi, tetapi rapuh. Begitu kunci privat bocor, kesalahan penerbitan terjadi, atau admin lupa memperpanjang, seluruh layanan digital bisa lumpuh.
Industri browser dan penyedia sertifikat kini sepakat: risiko setahun terlalu lama. Jika sebuah kunci kriptografi dikompromikan, 47 hari jauh lebih dapat diterima daripada 398 hari. Lebih dari itu, masa berlaku pendek memaksa organisasi beradaptasi dengan realitas baru—bahwa keamanan modern harus otomatis, bukan bergantung pada checklist dan pengingat kalender.
Masalahnya, perubahan ini datang dengan konsekuensi. Sertifikat 47 hari berarti hampir mustahil dikelola secara manual. Organisasi harus tahu persis di mana sertifikat mereka dipasang: di web server, load balancer, API gateway, container, hingga perangkat jaringan. Tanpa visibilitas dan otomatisasi, sertifikat pendek justru menjadi sumber gangguan layanan yang berulang.
Di sinilah pergeseran paradigma terjadi. SSL/TLS tak lagi sekadar urusan tim infrastruktur. Ia menjadi isu tata kelola digital. Sertifikat bukan hanya soal enkripsi, melainkan soal disiplin operasional. Siapa yang tidak siap beralih ke otomatisasi, sedang menyiapkan krisis kecil yang datang setiap satu setengah bulan.
Dampak Khusus bagi Indonesia
Bagi Indonesia, dampaknya tidak kecil. Banyak institusi—termasuk pemerintah daerah, perguruan tinggi, rumah sakit, dan UMKM digital—masih mengelola sertifikat secara manual. Tidak sedikit situs layanan publik yang hari ini saja masih menggunakan sertifikat hampir kedaluwarsa atau konfigurasi TLS yang usang.
Jika pola ini berlanjut, era sertifikat 47 hari berpotensi memunculkan “outage massal yang senyap”: layanan tidak bisa diakses bukan karena serangan siber, tetapi karena lupa memperpanjang sertifikat. Ironisnya, kegagalan ini sering disalahartikan sebagai gangguan jaringan atau serangan, padahal murni kegagalan tata kelola.
Di sisi lain, perubahan ini juga membuka peluang. Indonesia bisa melompat lebih cepat jika regulator, BSSN, dan pengelola SPBE melihat isu sertifikat sebagai bagian dari ketahanan digital nasional. Otomatisasi sertifikat, penggunaan ACME, integrasi dengan DevOps, dan manajemen kunci terpusat seharusnya menjadi standar, bukan pilihan.
Sertifikat 47 hari adalah pesan tegas dari industri global: keamanan tidak lagi menunggu manusia siap. Sistemlah yang harus dibuat siap. Bagi Indonesia, ini bukan sekadar perubahan teknis, melainkan ujian kedewasaan dalam mengelola infrastruktur digital. Jika gagal beradaptasi, yang kedaluwarsa bukan hanya sertifikat—melainkan kepercayaan publik terhadap layanan digital itu sendiri.
