Puoi utilizzare la CA dell'autorità di certificazione pubblica per eseguire il provisioning e il deployment di certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlli i domini. La Public CA consente di richiedere in modo diretto e programmatico certificati TLS attendibili pubblicamente che si trovano già nella radice degli archivi di attendibilità utilizzati da browser, sistemi operativi e applicazioni principali. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet.
La Public CA consente di gestire casi d'uso di volumi elevati che le CA tradizionali non sono state in grado di supportare. Se sei un cliente Google Cloud, puoi richiedere certificati TLS per i tuoi domini direttamente dalla CA pubblica.
La maggior parte dei problemi relativi ai certificati è dovuta a errori umani o alla supervisione, perciò consigliamo di automatizzare i cicli di vita dei certificati. La Public CA utilizza il protocollo ACME (Automatic Certificate Management Environment) per il provisioning, il rinnovo e la revoca automatici dei certificati. La gestione automatizzata dei certificati riduce i tempi di inattività causati dai certificati scaduti e riduce al minimo i costi operativi.
La Public CA esegue il provisioning dei certificati TLS per diversi servizi Google Cloud, tra cui App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Chi deve utilizzare Public CA
Puoi utilizzare la Public CA per i seguenti motivi:
- Se stai cercando un provider TLS con ubiquità, scalabilità, sicurezza e affidabilità elevate.
- Se vuoi ottenere la maggior parte dei certificati TLS (se non tutti) per la tua infrastruttura, inclusi carichi di lavoro on-premise e configurazioni di provider cross-cloud, da un singolo cloud provider.
- Se hai bisogno di controllo e flessibilità sulla gestione dei certificati TLS per personalizzarla in base ai requisiti della tua infrastruttura.
- Se vuoi automatizzare la gestione dei certificati TLS ma non puoi utilizzare i certificati gestiti nei servizi Google Cloud, come GKE o Cloud Load Balancing.
Ti consigliamo di utilizzare i certificati attendibili pubblicamente solo quando i requisiti della tua attività non consentono altre opzioni. Dati i costi e la complessità storici del mantenimento di gerarchie di infrastrutture a chiave pubblica (PKI), molte aziende utilizzano le gerarchie PKI pubbliche anche quando è più sensata una gerarchia privata.
Mantenere le gerarchie pubbliche e private è diventato molto più semplice con le numerose offerte di Google Cloud. Ti consigliamo di scegliere attentamente il tipo di infrastruttura a chiave pubblica corretta per il tuo caso d'uso.
Per i requisiti dei certificati non pubblici, Google Cloud offre due soluzioni facili da gestire:
Anthos Service Mesh: Cloud Service Mesh include il provisioning dei certificati mTLS completamente automatizzato per i carichi di lavoro in esecuzione in GKE Enterprise utilizzando l'autorità di certificazione Cloud Service Mesh (autorità di certificazione Cloud Service Mesh).
Certificate Authority Service: Certificate Authority Service consente di eseguire il deployment, gestire e proteggere in modo efficiente le CA private personalizzate senza gestire l'infrastruttura.
Vantaggi della Public CA
La Public CA offre i seguenti vantaggi:
Automazione: poiché i browser internet mirano al traffico completamente criptato e alla riduzione dei periodi di validità dei certificati, c'è il rischio di utilizzare certificati TLS scaduti. La scadenza del certificato può causare errori del sito web e interruzioni del servizio. La Public CA evita il problema della scadenza dei certificati consentendoti di configurare il server HTTPS per ottenere e rinnovare automaticamente i certificati TLS necessari dal nostro endpoint ACME.
Conformità: Public CA è sottoposta a regolari controlli indipendenti e rigorosi sui controlli di sicurezza, privacy e conformità. I sigilli Webtrust rilasciati a seguito di questi controlli annuali dimostrano la conformità della Public CA a tutti gli standard di settore pertinenti.
Sicurezza: l'architettura e le operazioni della Public CA sono progettate secondo i più elevati standard di sicurezza ed eseguono regolarmente valutazioni indipendenti per confermare la sicurezza dell'infrastruttura sottostante. La Public CA soddisfa o supera tutti i controlli, le pratiche operative e le misure di sicurezza menzionati nel white paper sulla sicurezza di Google.
L'attenzione della Public CA alla sicurezza si estende a funzionalità quali la convalida del dominio multi-prospettiva. L'infrastruttura della Public CA è distribuita a livello globale. Pertanto, la Public CA richiede un elevato grado di accordo tra punti di vista geograficamente diversificati, il che garantisce protezione contro la compromissione del BGP (Border Gateway Protocol) e contro la compromissione del server dei nomi di dominio (DNS).
Affidabilità: l'utilizzo dell'infrastruttura tecnica comprovata di Google rende la Public CA un servizio scalabile e a disponibilità elevata.
Ubiquity: la solida ubiquità nei browser di Google Trust Services garantisce che i servizi che utilizzano certificati che emettono la Public CA funzionino sulla più ampia gamma possibile di dispositivi e sistemi operativi.
Soluzioni TLS semplificate per configurazioni ibride: Public CA consente di creare una soluzione di certificato TLS personalizzata che utilizza la stessa CA per scenari e casi d'uso diversi. La Public CA gestisce efficacemente i casi d'uso in cui i carichi di lavoro vengono eseguiti on-premise o in un ambiente di provider cross-cloud.
Scalabilità: i certificati sono spesso costosi da ottenere e difficili da eseguire il provisioning e la manutenzione. Offrendo l'accesso a grandi volumi di certificati, la Public CA consente di utilizzare e gestire i certificati in modi che in precedenza non erano pratici.
Limitazioni della Public CA
Questa release della Public CA non supporta i domini punycode.