Use a CA da autoridade de certificação pública para provisionar e implantar certificados X.509 amplamente confiáveis depois de validar que o solicitante do certificado controla os domínios. A Public CA permite que você solicite de maneira direta e programática certificados TLS publicamente confiáveis que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet.
Public CA permite gerenciar casos de uso de alto volume que as ACs tradicionais não conseguiram oferecer suporte. Se você for cliente do Google Cloud, poderá solicitar certificados TLS para seus domínios diretamente da CA pública.
A maioria dos problemas relacionados a certificados é devido a erro humano ou supervisão. Por isso, recomendamos automatizar os ciclos de vida dos certificados. O Public CA usa o protocolo Ambiente de gerenciamento automático de certificados (ACME, na sigla em inglês) para o provisionamento, renovação e revogação automáticos de certificados. O gerenciamento automatizado de certificados reduz o tempo de inatividade que os certificados expirados pode causar e minimiza os custos operacionais.
A Public CA provisiona certificados TLS para vários serviços do Google Cloud, como App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Quem deve usar o Public CA
É possível usar um Public CA pelos seguintes motivos:
- Se você estiver procurando um provedor TLS com alta onipresença, escalonabilidade, segurança e confiabilidade.
- Se você quer a maioria dos certificados TLS, se não todos, para sua infraestrutura, incluindo cargas de trabalho locais e configurações de provedores entre nuvens, de um único provedor de nuvem.
- Se você precisar de controle e flexibilidade no gerenciamento de certificados TLS para personalizá-lo de acordo com seus requisitos de infraestrutura.
- Se você quer automatizar o gerenciamento de certificados TLS, mas não pode usar certificados gerenciados nos serviços do Google Cloud, como o GKE ou o Cloud Load Balancing.
Recomendamos que você use certificados publicamente confiáveis apenas quando seus requisitos de negócios não permitirem outra opção. Devido ao custo histórico e à complexidade da manutenção das hierarquias de infraestrutura de chave pública (ICP), muitas empresas usam hierarquias de ICP públicas, mesmo quando uma hierarquia privada faz mais sentido.
Manter hierarquias públicas e privadas ficou muito mais simples com as várias ofertas do Google Cloud. Recomendamos que você escolha com cuidado o tipo certo de ICP para seu caso de uso.
Para requisitos de certificado não públicos, o Google Cloud oferece duas soluções fáceis de gerenciar:
Anthos Service Mesh: o Cloud Service Mesh inclui o provisionamento de certificados mTLS totalmente automatizado para cargas de trabalho em execução no GKE Enterprise usando a autoridade de certificação do Cloud Service Mesh (autoridade de certificação do Cloud Service Mesh).
Certificate Authority Service: com o Certificate Authority Service, é possível implantar, gerenciar e proteger CAs particulares personalizadas de maneira eficiente sem gerenciar a infraestrutura.
Benefícios do Public CA
Public CA oferece os seguintes benefícios:
Automação: como os navegadores de Internet buscam tráfego totalmente criptografado e a redução dos períodos de validade dos certificados, há o risco de usar certificados TLS expirados. A expiração do certificado pode levar a erros no site e causar interrupções no serviço. Public CA evita o problema da expiração do certificado permitindo que você configure o servidor HTTPS para receber e renovar automaticamente os certificados TLS necessários do endpoint ACME.
Compliance: o Public CA passa por auditorias independentes e rigorosas de controles de segurança, privacidade e conformidade. Os selos do Webtrust concedidos como resultado dessas auditorias anuais demonstram a conformidade do Public CA com todos os padrões relevantes do setor.
Segurança: a arquitetura e as operações do Public CA são projetadas para o mais alto nível de padrões de segurança e executa avaliações independentes regularmente para confirmar a segurança da infraestrutura subjacente. Public CA atende ou excede todos os controles, práticas operacionais e medidas de segurança mencionados no artigo sobre segurança do Google.
O foco do Public CA na segurança se estende a recursos como a validação de domínio multiperspectiva. A infraestrutura do Public CA é distribuída globalmente. Portanto, o Public CA exige um alto grau de concordância entre perspectivas geograficamente diversas, o que fornece proteção contra sequestro do protocolo de gateway de borda (BGP, na sigla em inglês) e sequestro de servidor de nomes de domínio (DNS, na sigla em inglês).
Confiabilidade: o uso da infraestrutura técnica comprovada do Google torna o Public CA um serviço altamente disponível e escalonável.
Ubiquidade:a forte onipresença do navegador do Google Trust Services garante que os serviços que usam certificados emitidos pelo Public CA funcionem na maior variedade possível de dispositivos e sistemas operacionais.
Soluções TLS simplificadas para configurações híbridas: a Public CA permite criar uma solução de certificado TLS personalizada que usa a mesma AC para diversos cenários e casos de uso. Public CA atende efetivamente aos casos de uso em que cargas de trabalho são executadas no local ou em um ambiente de provedor entre nuvens.
Escala: os certificados costumam ser caros de receber e difíceis de provisionar e manter. Ao oferecer acesso a grandes volumes de certificados, a Public CA permite usar e gerenciar certificados de maneiras que antes eram consideradas impraticáveis.
Limitações do Public CA
Esta versão do Public CA não é compatível com domínios punycode.