Sijil Pihak Berkuasa Pensijilan (Sijil CA)

Sijil Pihak Berkuasa Pensijilan (Sijil CA) ialah bukti digital yang dikeluarkan oleh pihak berkuasa pensijilan digital yang dipercayai (Certificate Authority, CA), yang digunakan untuk membuktikan bahawa kunci awam yang dipegang oleh entiti tertentu (individu, perusahaan, domain, peranti atau perkhidmatan) sememangnya miliknya. Sijil CA membentuk sauh kepercayaan bagi keseluruhan infrastruktur kunci awam (Public Key Infrastructure, PKI), dan merupakan asas komunikasi digital, tandatangan elektronik, penyulitan data dan sistem identiti digital.

Peranan teras sijil CA adalah untuk memastikan bahawa sistem atau pengguna dalam rangkaian dapat mengesahkan identiti pihak lain, mewujudkan pautan penyulitan, menentukan sama ada data telah diusik, dan memberikan bukti tanpa penafian apabila diperlukan melalui kaedah “pengesahan identiti + pengikatan kunci awam”.

I. Prinsip Teknikal Sijil CA: Bagaimanakah Rantaian Kepercayaan PKI Berfungsi?

1. Penjanaan Pasangan Kunci

Entiti menjana sepasang kunci tak simetri:

• Kunci Awam: Awam, digunakan untuk penyulitan atau pengesahan
• Kunci Peribadi: Hanya disimpan oleh pemegang, digunakan untuk menandatangani atau menyahsulit

2. Proses Pengeluaran Sijil (CSR → Sijil CA)

Entiti membungkus kunci awam dan maklumat identiti ke dalam “Permintaan Tandatangan Sijil” (CSR) dan menyerahkannya kepada CA. Selepas CA meluluskan semakan, ia menggunakan kunci peribadinya sendiri untuk menandatangani CSR, dengan itu menjana sijil CA yang boleh dipercayai.

Dalam erti kata lain:

Kunci awam dalam sijil adalah milik pemohon, dan kredibiliti sijil disahkan oleh kunci peribadi CA.

3. Rantaian Kepercayaan (Certificate Chain)

Pengesahan sijil dijalankan dalam struktur rantai: Sijil Terminal → Sijil CA Pertengahan → Sijil Akar (Trust Anchor)
Pengesahan lapisan demi lapisan memastikan kunci awam boleh dipercayai.

4. Pembatalan Sijil dan Semakan Status

Apabila sijil tamat tempoh, bocor atau tidak sah, CA akan melalui:

• CRL (Senarai Pembatalan Sijil)
• OCSP (Protokol Status Sijil Dalam Talian)
  Menerbitkan status masa nyata, dan pihak pengesah akan menentukan sama ada sijil itu masih sah berdasarkan ini.

Dua, Struktur Asas Sistem Sijil CA

1. Sijil Akar (Root Certificate)

Tahap tertinggi, ditandatangani sendiri, dipercayai secara lalai oleh sistem pengendalian dan pelayar.

2. Sijil Pertengahan (Intermediate Certificate)

Dikeluarkan oleh CA akar, melaksanakan kebanyakan tugas pengeluaran, meningkatkan pengasingan risiko.

3. Sijil Entiti Akhir (End-entity Certificate)

Digunakan untuk komunikasi TLS sebenar, tandatangan elektronik, pengesahan peranti dan senario lain.

Tiga, Senario Aplikasi Tipikal Sijil CA

1. Komunikasi Terenkripsi

• HTTPS/TLS
• Komunikasi API
• VPN Korporat, akses sistem awan
  Sahkan identiti pelayan dan bina saluran selamat melalui pengesahan sijil.

2. Pengesahan Identiti

• Pengesahan identiti pengguna
• Akses sistem korporat
• Pendaftaran besar-besaran peranti IoT
  Pastikan kedua-dua pihak atau peranti komunikasi adalah entiti yang boleh dipercayai.

3. Tandatangan Digital dan Kontrak Elektronik

• Jana tandatangan digital
• Pengesahan kalis gangguan
• Jaminan kesahan undang-undang dokumen
  Adalah asas yang boleh dipercayai bagi sistem tandatangan elektronik.

4. Sistem Kewangan, Kerajaan, Kawal Selia

Digunakan untuk senario keselamatan tinggi dan pengesahan identiti yang kukuh, seperti:

• Pelaporan kawal selia
• E-cukai
• Pengaliran elektronik perniagaan jenis kelulusan

Empat, Pengeluar Sijil CA (Siapa yang Mengeluarkan Sijil CA)

Senario penggunaan yang berbeza memerlukan jenis CA yang berbeza:

1. CA Dipercayai Awam (Public Trusted CA)

Sijil akar dipercayai oleh sistem dan pelayar utama, biasanya digunakan untuk:

• TLS/HTTPS
• Tandatangan dokumen
• Pengesahan perusahaan

2. CA Kawal Selia (Regulated/Qualified CA)

Digunakan untuk senario tandatangan elektronik yang memerlukan keperluan undang-undang yang lebih tinggi, seperti:

• Tandatangan Elektronik Lanjutan (AES)
• Tandatangan Elektronik Bertauliah (QES)
• Industri berisiko tinggi (kewangan, perubatan, hal ehwal kerajaan, dll.)

Memenuhi keperluan kelayakan audit dan keselamatan yang ketat.

3. CA Persendirian (Private CA)

Digunakan untuk dalaman syarikat:

• Seni bina Zero Trust
• Pengesahan peranti IoT
• Komunikasi sistem dalaman
  Bukan sebahagian daripada sistem kepercayaan awam, tetapi mempunyai kesan yang sama dalam organisasi.

V. Nilai Teras Sijil CA dalam Ekosistem Tandatangan Elektronik

Sijil CA memainkan peranan penting dalam platform tandatangan elektronik dan sistem kontrak digital:

1. Identiti Boleh Dipercayai (Siapa yang Menandatangani)

Sijil mengikat identiti sebenar, membolehkan platform mengesahkan:

• Siapa penandatangan
• Sama ada mereka mempunyai kebenaran
• Sama ada entiti korporat sah

Tindakan menandatangani oleh itu mempunyai sifat entiti undang-undang.

2. Pencegahan Pemalsuan Dokumen

Berdasarkan: Hash Dokumen + Tandatangan Kunci Persendirian + Pengesahan Kunci Awam
Sebarang perubahan akan menyebabkan tandatangan menjadi tidak sah, memastikan integriti kandungan kontrak.

3. Ketidakbolehsangkalan

Rantaian Sijil + Rekod Tandatangan + Cap Waktu + Log Audit
Membentuk rantaian bukti lengkap yang boleh digunakan untuk timbang tara dan litigasi.
Penandatangan tidak boleh menafikan bahawa mereka telah melaksanakan operasi menandatangani.

4. Menyokong Pengarkiban Kontrak Jangka Panjang (LTV)

Melalui rantaian sijil, OCSP/CRL, cap waktu dan mekanisme lain,
Kontrak masih boleh disahkan selepas sijil tamat tempoh, sesuai untuk dokumen undang-undang yang perlu disimpan selama 5–20 tahun.

5. Kebolehpercayaan Merentas Platform, Merentas Sistem dan Merentas Negara

Mematuhi piawaian PKI antarabangsa:

• Mana-mana pembaca PDF boleh mengesahkan tandatangan
• Sistem di semua negara boleh mengenal pasti
• Tidak bergantung pada perkhidmatan pengesahan vendor tertentu

Menyokong kontrak rentas sempadan perusahaan dan kerjasama berbilang pihak.

6. Menyokong proses tandatangan automatik (Lapisan Produk)

Termasuk:

• Pengeluaran sijil tandatangan serta-merta
• Tandatangan pukal, aliran kerja automatik
• Tandatangan mesin (API/tandatangan pelayan)
• Tandatangan templat
  Keupayaan teras produk tandatangan elektronik ini dibina di atas sistem sijil CA.

Enam, Pengurusan Kitaran Hayat Sijil (CLM)

Sijil CA mempunyai kitaran hayat yang lengkap:

• Permohonan dan semakan
• Pengeluaran dan penggunaan
• Pengesahan rantaian sijil
• Pemantauan tamat tempoh dan pembaharuan automatik
• Putaran kunci (Key Rotation)
• Pemprosesan Pembatalan
• Rekod Audit Pematuhan

Sijil yang tamat tempoh atau bocor akan menjejaskan keselamatan sistem dan pengesahan tandatangan, memerlukan pengurusan kitaran hayat profesional.

Ringkasan

Sijil CA ialah teras kepercayaan dunia digital, menyediakan asas yang boleh dipercayai untuk senario kritikal seperti keselamatan komunikasi, pengesahan identiti, tandatangan elektronik, dan pengesahan peranti.
Melalui audit identiti, pengikatan kunci awam, pengesahan tandatangan digital dan mekanisme rantaian sijil, sijil CA memastikan:

• Identiti adalah benar dan boleh dipercayai
• Dokumen tidak boleh diubah
• Kontrak boleh memberikan bukti undang-undang
• Fail boleh disahkan untuk jangka masa panjang
• Kepercayaan merentas platform boleh diwujudkan antara sistem

Ia merupakan infrastruktur utama untuk tandatangan elektronik dan perniagaan digital rentas sempadan beroperasi dengan dipercayai.