Vous pouvez utiliser l'autorité de certification publique pour provisionner et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur de certificat contrôle les domaines. Une autorité de certification publique vous permet de demander directement et par programmation des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet.
Les autorités de certification publiques vous permettent de gérer des cas d'utilisation à fort volume que les autorités de certification traditionnelles n'ont pas pu prendre en charge. Si vous êtes un Google Cloud client, vous pouvez demander des certificats TLS pour vos domaines directement auprès de l'autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur ou à une négligence humaine. Nous vous recommandons donc d'automatiser le cycle de vie des certificats. L'autorité de certification publique utilise le protocole Automatic Certificate Management Environment (ACME) pour le provisionnement, le renouvellement et la révocation automatiques des certificats. La gestion automatisée des certificats réduit les temps d'arrêt pouvant être causés par les certificats expirés et minimise les coûts opérationnels.
L'autorité de certification publique fournit des certificats TLS pour plusieurs Google Cloud services, tels que App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser une autorité de certification publique ?
Vous pouvez utiliser une autorité de certification publique pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS offrant une grande ubiquité, évolutivité, sécurité et fiabilité,
- Si vous souhaitez obtenir la plupart, voire tous les certificats TLS pour votre infrastructure, y compris les charges de travail sur site et les configurations multi-fournisseurs cloud, auprès d'un seul fournisseur cloud.
- Si vous avez besoin de contrôler et de gérer de manière flexible la gestion des certificats TLS pour l'adapter à vos exigences d'infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS, mais que vous ne pouvez pas utiliser de certificats gérés dans des services Google Cloud , tels que GKE ou Cloud Load Balancing.
Nous vous recommandons de n'utiliser des certificats approuvés publiquement que lorsque vos exigences métier ne permettent pas d'autres options. Compte tenu des coûts et de la complexité historiques de la gestion des hiérarchies d'infrastructure de clés publiques (PKI), de nombreuses entreprises utilisent des hiérarchies PKI publiques, même lorsqu'une hiérarchie privée est plus adaptée.
La gestion des hiérarchies publiques et privées est devenue beaucoup plus simple grâce aux multiples offresGoogle Cloud . Nous vous recommandons de choisir soigneusement le bon type de PKI pour votre cas d'utilisation.
Pour les exigences de certificats non publics, Google Cloud propose deux solutions faciles à gérer:
Anthos Service Mesh: Cloud Service Mesh inclut le provisionnement entièrement automatisé des certificats mTLS pour les charges de travail exécutées dans GKE Enterprise à l'aide de l'autorité de certification Cloud Service Mesh.
Certificate Authority Service (Service d'autorité de certification) : Certificate Authority Service vous permet de déployer, de gérer et de sécuriser efficacement des autorités de certification privées personnalisées sans gérer l'infrastructure.
Avantages d'une autorité de certification publique
Les autorités de certification publiques offrent les avantages suivants:
Automatisation: les navigateurs Internet visent un trafic entièrement chiffré et la réduction des périodes de validité des certificats. Il existe donc un risque d'utiliser des certificats TLS expirés. L'expiration d'un certificat peut entraîner des erreurs sur le site Web et des interruptions de service. Une autorité de certification publique évite le problème d'expiration des certificats en vous permettant de configurer votre serveur HTTPS pour qu'il obtienne et renouvelle automatiquement les certificats TLS nécessaires à partir de notre point de terminaison ACME.
Conformité: les autorités de certification publiques sont régulièrement soumises à des audits indépendants rigoureux de leurs dispositifs de sécurité, de confidentialité et de conformité. Les sceaux Webtrust accordés à la suite de ces audits annuels attestent de la conformité de la certification publique avec toutes les normes du secteur applicables.
Sécurité: l'architecture et les opérations de l'autorité de certification publique sont conçues selon les normes de sécurité les plus élevées et effectuent régulièrement des évaluations indépendantes pour confirmer la sécurité de l'infrastructure sous-jacente. Les autorités de certification publiques respectent ou dépassent tous les contrôles, pratiques opérationnelles et mesures de sécurité mentionnés dans le livre blanc sur la sécurité de Google.
L'accent mis par les autorités de certification publiques sur la sécurité s'étend à des fonctionnalités telles que la validation multiperspective des domaines. L'infrastructure de la CA publique est distribuée à l'échelle mondiale. Par conséquent, une autorité de certification publique nécessite un haut niveau d'accord entre des perspectives géographiquement diverses, ce qui offre une protection contre les attaques de détournement de BGP (Border Gateway Protocol) et de détournement de DNS (Domain Name Server).
Fiabilité: l'utilisation de l'infrastructure technique éprouvée de Google fait de la CA publique un service hautement disponible et évolutif.
Ubiquité:l'ubiquité forte des navigateurs des services de confiance Google permet de s'assurer que les services utilisant des certificats émis par une autorité de certification publique fonctionnent sur la plus grande gamme d'appareils et de systèmes d'exploitation possible.
Solutions TLS simplifiées pour les configurations hybrides: les autorités de certification publiques vous permettent de créer une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Les autorités de certification publiques répondent efficacement aux cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement multi-fournisseur cloud.
Échelle: l'obtention de certificats a souvent été coûteuse, et leur provisionnement et leur maintenance difficiles. En offrant un accès à de grands volumes de certificats, les autorités de certification publiques vous permettent d'utiliser et de gérer des certificats de manières qui étaient auparavant considérées comme peu pratiques.
Limites des autorités de certification publiques
Cette version de l'autorité de certification publique n'est pas compatible avec les domaines en punycode.