Use a CA da autoridade de certificação pública para provisionar e implantar certificados X.509 amplamente confiáveis depois de validar que o solicitante do certificado controla os domínios. A Public CA permite que você solicite de maneira direta e programática certificados TLS publicamente confiáveis que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet.
Public CA permite gerenciar casos de uso de alto volume que não são compatíveis com as CAs tradicionais. Se você for cliente do Google Cloud, poderá solicitar certificados TLS para seus domínios diretamente da CA pública.
A maioria dos problemas relacionados a certificados é devido a erro humano ou supervisão. Por isso, recomendamos automatizar os ciclos de vida dos certificados. O Public CA usa o protocolo Ambiente de gerenciamento automático de certificados (ACME, na sigla em inglês) para provisionamento, renovação e revogação automatizados de certificados. O gerenciamento automatizado de certificados reduz a inatividade que os certificados expirados podem causar e minimiza os custos operacionais.
O Public CA provisiona certificados TLS para vários serviços do Google Cloud, como App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Quem deve usar o Public CA
É possível usar o Public CA pelos seguintes motivos:
- Se você estiver procurando um provedor de TLS com alta onipresença, escalonabilidade, segurança e confiabilidade.
- Se você quiser a maioria dos certificados TLS (se não todos) para sua infraestrutura, incluindo cargas de trabalho locais e configurações de provedores entre nuvens, de um único provedor de nuvem.
- Se você precisar de controle e flexibilidade sobre o gerenciamento de certificados TLS para personalizá-lo de acordo com os requisitos da sua infraestrutura.
- Se você quiser automatizar o gerenciamento de certificados TLS, mas não puder usar certificados gerenciados nos serviços do Google Cloud, como o GKE ou o Cloud Load Balancing.
Recomendamos que você use certificados publicamente confiáveis apenas quando seus requisitos comerciais não permitirem outra opção. Considerando o custo histórico e a complexidade de manter as hierarquias de infraestrutura de chave pública (ICP), muitas empresas usam essas hierarquias, mesmo quando uma hierarquia privada faz mais sentido.
Manter hierarquias públicas e privadas ficou muito mais simples com várias ofertas do Google Cloud. Recomendamos que você escolha com cuidado o tipo certo de ICP para seu caso de uso.
Para requisitos de certificado não públicos, o Google Cloud oferece duas soluções fáceis de gerenciar:
Anthos Service Mesh: o Anthos Service Mesh inclui o provisionamento de certificados mTLS totalmente automatizado para cargas de trabalho em execução no GKE Enterprise usando a autoridade de certificação do Anthos Service Mesh (CA do Mesh).
Certificate Authority Service: com o Certificate Authority Service, é possível implantar, gerenciar e proteger CAs particulares personalizadas de maneira eficiente sem gerenciar a infraestrutura.
Benefícios do Public CA
Public CA oferece os seguintes benefícios:
Automação: como os navegadores de Internet buscam tráfego totalmente criptografado e a redução dos períodos de validade do certificado, há o risco de usar certificados TLS expirados. A expiração do certificado pode levar a erros no site e causar interrupções no serviço. Public CA evita o problema de expiração do certificado, permitindo que você configure seu servidor HTTPS para receber e renovar automaticamente os certificados TLS necessários do nosso endpoint ACME.
Conformidade: o Public CA passa por auditorias independentes e rigorosas regulares de controles de segurança, privacidade e conformidade. Os selos da Webtrust concedidos como resultado dessas auditorias anuais demonstram a conformidade do Public CA com todos os padrões relevantes do setor.
Segurança: a arquitetura e as operações do Public CA são projetadas para o mais alto nível de padrões de segurança e executa avaliações independentes regularmente para confirmar a segurança da infraestrutura subjacente. Public CA atende ou excede todos os controles, práticas operacionais e medidas de segurança mencionados no artigo sobre segurança do Google.
O foco do Public CA na segurança se estende a recursos como a validação de domínio de várias perspectivas. A infraestrutura do Public CA é distribuída globalmente. Portanto, o Public CA exige um alto grau de concordância entre perspectivas geograficamente diversas, o que fornece proteção contra invasão do protocolo de gateway de borda (BGP, na sigla em inglês) e invasão do servidor de nomes de domínio (DNS, na sigla em inglês).
Confiabilidade: o uso da infraestrutura técnica comprovada do Google torna o Public CA um serviço altamente disponível e escalonável.
Ubiquidade:a onipresença de recursos do Google Trust Services em navegadores garante que os serviços que usam certificados emitidos pelo Public CA funcionem na maior variedade possível de dispositivos e sistemas operacionais.
Soluções TLS simplificadas para configurações híbridas: o Public CA permite criar uma solução de certificado TLS personalizada que usa a mesma CA para diversos cenários e casos de uso. Public CA atende efetivamente aos casos de uso em que as cargas de trabalho são executadas no local ou em um ambiente de provedor entre nuvens.
Escala: os certificados costumam ser caros de conseguir e difíceis de provisionar e manter. Ao oferecer acesso a grandes volumes de certificados, a Public CA permite utilizar e gerenciar certificados de maneiras que antes eram consideradas impraticáveis.
Limitações do Public CA
Esta versão do Public CA não é compatível com domínios punycode.