Pada akhir September 2025, sebuah penyedia hosting menemukan seluruh domainnya diblokir oleh Google Safe Browsing, memicu perdebatan sengit tentang infrastruktur internet, kekuatan korporasi, dan tantangan dalam menghosting konten buatan pengguna. Insiden ini mengungkap kekhawatiran mendalam tentang bagaimana sistem keamanan otomatis mempengaruhi layanan yang lebih kecil dan apakah solusi saat ini memadai untuk menangani skala hosting web modern.
Insiden yang Memicu Percakapan
Sebuah layanan hosting statis menemukan bahwa domain utamanya telah ditandai sebagai menipu oleh Google Safe Browsing, mempengaruhi semua situs di bawah domain tersebut selama kurang lebih enam jam. Pemicunya adalah masuknya situs phishing yang dibuat oleh pengguna pada subdomain platform hosting. Hal ini memicu diskusi komunitas tentang apakah respons Google tepat atau menunjukkan kontrol berlebihan atas aksesibilitas internet.
Percakapan mengungkapkan bahwa insiden serupa tidak jarang terjadi. Seorang komentator mencatat: Saya memiliki *.domain.tld yang mengarah ke alamat IP internal, dan dalam beberapa tahun terakhir beberapa kali terjadi di mana beberapa subdomain akan ditandai sebagai berbahaya oleh Google Safe Browsing. Pola ini menunjukkan bahwa sistem keamanan otomatis sering menghasilkan positif palsu yang dapat mengganggu layanan yang sah.
Statistik Dampak Google Safe Browsing:
- Melindungi lebih dari 5 miliar perangkat di seluruh dunia
- Dapat memblokir akses ke seluruh domain dan subdomain
- Proses peninjauan biasanya memakan waktu beberapa jam untuk penyelesaian
- Mempengaruhi browser utama termasuk Chrome, Firefox, dan Edge
Debat Daftar Akhiran Publik
Sebagian besar diskusi teknis berpusat pada Public Suffix List (PSL), bagian infrastruktur web yang kritis namun sering diabaikan. PSL membantu browser dan layanan keamanan memahami domain mana yang menghosting konten dari berbagai pihak independen. Ketika sebuah domain tidak ada dalam daftar ini, sistem keamanan mungkin memperlakukan semua subdomain sebagai milik entitas yang sama.
Proses persetujuan untuk PSL menjadi titik pertentangan. Beberapa berargumen bahwa penyedia hosting seharusnya mengetahui persyaratan ini dari awal, sementara yang lain menunjuk bahwa Anda tidak bisa begitu saja menambahkan domain apa pun ke PSL. Anda membutuhkan jumlah pengguna yang signifikan sebelum mereka akan memasukkan domain Anda. Ini menciptakan situasi dilema di mana layanan yang sedang tumbuh menjadi rentan terhadap pemblokiran seluruh domain tepat ketika mereka mencapai ambang batas untuk kelayakan PSL.
Bagi seorang pengembang web di tahun 2025 untuk masih belum mengetahui praktik terbaik keamanan yang telah ada selama 20+ tahun adalah kegagalan di pihak pengembang tersebut.
Fakta Kunci Public Suffix List (PSL):
- Dipelihara di https://publicsuffix.org/
- Membantu browser mengidentifikasi domain yang menampung berbagai pihak independen
- Memerlukan proses persetujuan untuk inklusi domain
- Sangat penting untuk mencegah pemblokiran keamanan di seluruh domain
- Digunakan oleh semua browser utama untuk keputusan keamanan
Implikasi yang Lebih Luas untuk Infrastruktur Internet
Insiden ini menyoroti betapa terpusatnya tata kelola internet telah menjadi. Dengan Google Safe Browsing melindungi lebih dari lima miliar perangkat, keputusan otomatis dari satu perusahaan dapat secara efektif menghapus situs web dari sebagian besar internet. Konsentrasi kekuatan ini mengkhawatirkan banyak orang di komunitas teknis yang menghargai sifat desentralisasi web.
Diskusi meluas melampaui kasus spesifik ini untuk memeriksa betapa sulitnya bagi individu untuk mengoperasikan layanan web independen. Seperti yang diamati salah satu peserta, Berapa banyak forum yang benar-benar independen dan dijalankan individu yang baru dapat Anda sebutkan hari ini? Hampir tidak ada. Kombinasi tantangan moderasi, risiko DDoS, dan sekarang ancaman pemblokiran seluruh domain oleh sistem otomatis menciptakan hambatan signifikan bagi operator kecil.
Keamanan Versus Aksesibilitas
Sementara sebagian besar komentator mengakui pentingnya melindungi pengguna dari serangan phishing, banyak yang mempertanyakan apakah pendekatan saat ini mewakili keseimbangan yang tepat. Sifat otomatis dari sistem ini berarti bahwa positif palsu dapat mematikan layanan dengan opsi penyelesaian yang terbatas. Seperti yang dicatat seorang profesional keamanan berpengalaman, Separuh (atau lebih) dari peringatan/peringatan keamanan adalah positif palsu.
Insiden ini juga mengungkap kesenjangan dalam bagaimana platform besar versus kecil diperlakukan. Beberapa komentator menunjuk bahwa layanan besar seperti YouTube atau Facebook tidak menghadapi pemblokiran seluruh domain ketika pengguna individu memposting konten berbahaya, menunjukkan bahwa skala dan pengaruh mempengaruhi bagaimana kebijakan keamanan diterapkan.
Praktik Keamanan Hosting yang Umum:
- Memisahkan konten pengguna dari antarmuka administratif menggunakan domain yang berbeda
- Menerapkan sistem moderasi konten secara real-time
- Menggunakan cakupan cookie untuk mencegah masalah keamanan lintas subdomain
- Mengupayakan inklusi PSL untuk domain konten buatan pengguna
- Memantau aktivitas berbahaya 24/7
Ke Depan: Solusi dan Alternatif
Penyedia hosting dalam kasus ini telah mulai memigrasi konten pengguna ke domain terpisah dan mengejar inklusi PSL. Namun, komentator mencatat bahwa ini hanya sebagian mengatasi masalah, karena domain baru masih bisa menghadapi masalah serupa sampai persetujuan PSL selesai. Diskusi juga menyentuh perbaikan potensial dalam proses, termasuk API yang lebih baik untuk menangani laporan Safe Browsing dan komunikasi yang lebih transparan dari Google.
Beberapa peserta menyarankan bahwa masalah mendasar bukan hanya teknis tetapi sosial - internet telah berevolusi ke titik di mana beberapa entitas besar secara necesarry memegang kekuatan signifikan. Seperti yang dibingkai seorang komentator, Ada dua aspek untuk Internet: teknis dan sosial. Dalam aspek sosial, selalu ada seseorang dengan sebagian besar kekuatan.
Percakapan terus berlanjut tentang apakah solusi teknis yang lebih baik, kerangka peraturan, atau alternatif terdesentralisasi mungkin menciptakan pendekatan yang lebih seimbang untuk keamanan internet yang melindungi pengguna tanpa memberikan kendali yang luar biasa atas apa yang tetap dapat diakses secara online kepada entitas tunggal mana pun.
Referensi: Insiden Google Safe Browsing