É possível usar a CA da autoridade de certificação pública para provisionar e implantar certificados X.509 amplamente confiáveis depois de validar que o solicitante do certificado controla os domínios. O Public CA permite solicitar, de maneira direta e programática, certificados TLS publicamente confiáveis que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet.
Public CA permite gerenciar casos de uso de alto volume a que as CAs tradicionais não oferecem suporte. Se você for um cliente do Google Cloud, poderá solicitar certificados TLS para seus domínios diretamente da AC pública.
A maioria dos problemas relacionados a certificados ocorre devido a erro ou supervisão humana. Por isso, recomendamos automatizar os ciclos de vida dos certificados. O Public CA usa o protocolo Ambiente de gerenciamento de certificados automático (ACME, na sigla em inglês) para o provisionamento, renovação e revogação automática de certificados. O gerenciamento automatizado de certificados reduz a inatividade que certificados expirados podem causar e minimiza os custos operacionais.
A Public CA provisiona certificados TLS para vários serviços do Google Cloud, como App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Quem deve usar o Public CA
É possível usar o Public CA pelos seguintes motivos:
- Se você estiver procurando um provedor de TLS com alta onipresença, escalonabilidade, segurança e confiabilidade.
- Se você quiser que a maioria dos certificados TLS para sua infraestrutura (incluindo cargas de trabalho locais e configurações do provedor entre nuvens) sejam provenientes de um único provedor de nuvem.
- Se você precisar de controle e flexibilidade em relação ao gerenciamento de certificados TLS para personalizá-lo de acordo com seus requisitos de infraestrutura.
- Se você quiser automatizar o gerenciamento de certificados TLS, mas não puder usar certificados gerenciados em serviços do Google Cloud, como o GKE ou o Cloud Load Balancing.
Recomendamos que você use certificados publicamente confiáveis apenas quando seus requisitos de negócios não permitirem outra opção. Dado o custo histórico e a complexidade da manutenção de hierarquias de infraestrutura de chave pública (PKI, na sigla em inglês), muitas empresas usam hierarquias de ICP públicas, mesmo quando uma hierarquia privada faz mais sentido.
Manter hierarquias públicas e privadas ficou muito mais simples com várias ofertas do Google Cloud. Recomendamos que você escolha com cuidado o tipo certo de ICP para seu caso de uso.
Para requisitos de certificados não públicos, o Google Cloud oferece duas soluções fáceis de gerenciar:
Anthos Service Mesh: o Cloud Service Mesh inclui o provisionamento de certificados mTLS totalmente automatizado para cargas de trabalho em execução no GKE Enterprise usando a autoridade de certificação do Cloud Service Mesh (autoridade de certificação do Cloud Service Mesh).
Certificate Authority Service: o Certificate Authority Service permite implantar, gerenciar e proteger CAs particulares personalizadas de maneira eficiente sem gerenciar a infraestrutura.
Benefícios do Public CA
Public CA oferece os seguintes benefícios:
Automação: como os navegadores da Internet buscam tráfego totalmente criptografado e a redução dos períodos de validade dos certificados, há o risco de usar certificados TLS expirados. A expiração do certificado pode levar a erros no site e causar interrupções no serviço. Public CA evita o problema da expiração do certificado, permitindo que você configure o servidor HTTPS para receber e renovar automaticamente os certificados TLS necessários do nosso endpoint ACME.
Compliance: o Public CA passa por auditorias independentes e rigorosas regulares de controles de segurança, privacidade e compliance. Os selos Webtrust concedidos como resultado dessas auditorias anuais demonstram a conformidade do Public CA com todos os padrões relevantes do setor.
Segurança: a arquitetura e as operações do Public CA são projetadas para o mais alto nível de padrões de segurança e executam regularmente avaliações independentes para confirmar a segurança da infraestrutura subjacente. Public CA atende ou excede todos os controles, práticas operacionais e medidas de segurança mencionados no artigo sobre segurança do Google.
O foco do Public CA em segurança se estende a recursos como a validação de domínios com várias perspectivas. A infraestrutura do Public CA é distribuída globalmente. Portanto, o Public CA requer um alto grau de concordância em perspectivas geograficamente diversas, o que oferece proteção contra invasão do protocolo de gateway de borda (BGP, na sigla em inglês) e ataques de invasão de servidor de nomes de domínio (DNS, na sigla em inglês).
Confiabilidade: o uso da infraestrutura técnica comprovada do Google torna o Public CA um serviço altamente disponível e escalonável.
Ubiquidade:a forte onipresença do Google Trust Services nos navegadores garante que os serviços que usam certificados emitidos pelo Public CA funcionem na maior variedade possível de dispositivos e sistemas operacionais.
Soluções de TLS simplificadas para configurações híbridas: a Public CA permite criar uma solução de certificado TLS personalizada que usa a mesma AC para diversos cenários e casos de uso. Public CA atende efetivamente aos casos de uso em que as cargas de trabalho são executadas no local ou em um ambiente de provedor entre nuvens.
Escala: geralmente, os certificados são caros de receber e difíceis de provisionar e manter. Ao oferecer acesso a grandes volumes de certificados, Public CA permite utilizar e gerenciar certificados de maneiras que anteriormente eram consideradas impraticáveis.
Limitações do Public CA
Esta versão do Public CA não oferece suporte a domínios punycode.