Vous pouvez utiliser l'autorité de certification publique de l'autorité de certification pour provisionner et déployer des certificats X.509 largement fiables après avoir vérifié que le demandeur de certificat contrôle les domaines. LPublic CA vous permet de demander directement et de manière automatisée des certificats TLS approuvés publiquement qui se trouvent déjà dans les magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet.
Public CA vous permettent de gérer des cas d'utilisation à haut volume que les CA traditionnelles n'ont pas réussi à gérer. Si vous êtes un client Google Cloud, vous pouvez demander des certificats TLS pour vos domaines directement à partir d'une autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur humaine ou une négligence. Nous vous recommandons donc d'automatiser les cycles de vie des certificats. Public CA utilise le protocole ACME (Automatic Certificate Management Environment) pour le provisionnement, le renouvellement et la révocation automatisés des certificats. La gestion automatisée des certificats réduit les temps d'arrêt que les certificats arrivés à expiration peuvent entraîner et minimise les coûts opérationnels.
L'Public CA provisionne des certificats TLS pour plusieurs services Google Cloud, tels qu'App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser Public CA ?
Vous pouvez utiliser Public CA pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS offrant une omniprésence, une évolutivité, une sécurité et une fiabilité élevées.
- Si vous souhaitez obtenir la plupart, voire la totalité, des certificats TLS pour votre infrastructure, y compris les charges de travail sur site et les configurations de fournisseurs multicloud, provenant d'un seul fournisseur cloud.
- Si vous avez besoin de contrôle et de flexibilité sur la gestion des certificats TLS, personnalisez-la en fonction des exigences de votre infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS, mais que vous ne pouvez pas utiliser de certificats gérés dans des services Google Cloud tels que GKE ou Cloud Load Balancing,
Nous vous recommandons de n'utiliser des certificats reconnus publiquement que lorsque les exigences de votre entreprise n'autorisent pas une autre option. Compte tenu du coût et de la complexité historiques liés à la maintenance des hiérarchies d'infrastructure à clé publique (PKI), de nombreuses entreprises utilisent des hiérarchies PKI publiques, même lorsqu'une hiérarchie privée est plus appropriée.
Il est devenu beaucoup plus simple de gérer des hiérarchies publiques et privées grâce à plusieurs offres Google Cloud. Nous vous recommandons de choisir soigneusement le type d'ICP adapté à votre cas d'utilisation.
Pour les exigences de certificats non publics, Google Cloud propose deux solutions faciles à gérer:
Anthos Service Mesh: Anthos Service Mesh inclut le provisionnement de certificats mTLS de manière entièrement automatisée pour les charges de travail exécutées dans GKE Enterprise à l'aide de l'autorité de certification Anthos Service Mesh (Mesh CA).
Certificate Authority Service : Certificate Authority Service vous permet de déployer, gérer et sécuriser efficacement des autorités de certification privées personnalisées sans avoir à gérer l'infrastructure.
Avantages de lPublic CA
Public CA offre les avantages suivants:
Automatisation: les navigateurs Internet visent à assurer le trafic entièrement chiffré et à réduire les périodes de validité des certificats. Il existe donc un risque d'utilisation de certificats TLS arrivés à expiration. L'expiration du certificat peut entraîner des erreurs sur le site Web et des interruptions de service. L'Public CA évite le problème d'expiration des certificats en vous permettant de configurer votre serveur HTTPS pour qu'il obtienne et renouvelle automatiquement les certificats TLS nécessaires à partir de notre point de terminaison ACME.
Conformité: Public CA sont régulièrement soumises à des audits indépendants rigoureux au niveau des contrôles de sécurité, de confidentialité et de conformité. Les sceaux WebTrust accordés à la suite de ces audits annuels démontrent la conformité de l'autorité de certification publique à toutes les normes du secteur pertinentes.
Sécurité: l'architecture et les opérations de Public CA sont conçues selon les normes de sécurité les plus strictes et effectuent régulièrement des évaluations indépendantes pour confirmer la sécurité de l'infrastructure sous-jacente. Une Public CA respecte ou dépasse l'ensemble des contrôles, pratiques opérationnelles et mesures de sécurité mentionnés dans le livre blanc sur la sécurité de Google.
L'accent mis par les autorités de certification publiques sur la sécurité s'étend aux fonctionnalités telles que la validation de domaine multi-perspective. L'infrastructure de Public CA est distribuée à l’échelle mondiale. Par conséquent, Public CA exigent un haut niveau d'accord sur des perspectives géographiquement diversifiées, ce qui offre une protection contre le piratage du protocole BGP (Border Gateway Protocol) et le détournement de serveur de noms de domaine (DNS).
Fiabilité: grâce à l'utilisation de l'infrastructure technique éprouvée de Google, Public CA sont un service disponibilité élevée et évolutif.
Ubiquité:grâce à la forte omniprésence des navigateurs Google Trust Services, les services utilisant des certificats délivrés par Public CA fonctionnent sur la plus large gamme d'appareils et de systèmes d'exploitation possible.
Solutions TLS simplifiées pour les configurations hybrides: Public CA vous permet de créer une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Public CA répond efficacement aux cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement de fournisseur multicloud.
Échelle: les certificats sont souvent coûteux à obtenir, et difficiles à provisionner et à gérer. En offrant un accès à d'importants volumes de certificats, l'Public CA vous permet d'utiliser et de gérer les certificats d'une manière qui était auparavant considérée comme peu pratique.
Limites de lPublic CA
Cette version de lPublic CA n'est pas compatible avec les domaines Punycode.