É possível usar a autoridade certificadora pública (AC) para provisionar e implantar certificados X.509 de confiança geral depois de validar que o solicitante do certificado controla os domínios. A AC pública permite que você solicite de forma direta e programática certificados TLS de confiança pública que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet.
A AC pública permite gerenciar casos de uso de alto volume que as ACs tradicionais não conseguem atender. Se você for um Google Cloud cliente, poderá solicitar certificados TLS para seus domínios diretamente da AC pública.
A maioria dos problemas relacionados a certificados é devido a erro humano ou descuido. Por isso, recomendamos automatizar os ciclos de vida dos certificados. A AC pública usa o protocolo Ambiente de gerenciamento automático de certificados (ACME) para provisionamento, renovação e revogação automatizados de certificados. O gerenciamento automatizado de certificados reduz o tempo de inatividade que os certificados expirados podem causar e minimiza os custos operacionais.
As ACs públicas fornecem certificados TLS para vários Google Cloud serviços, como o App Engine, o Cloud Shell, o Google Kubernetes Engine e o Cloud Load Balancing.
Quem deve usar a AC pública
Você pode usar a AC pública pelos seguintes motivos:
- Se você está procurando um provedor de TLS com alta ubiquidade, escalabilidade, segurança e confiabilidade.
- Se você quiser a maioria ou todos os certificados TLS para sua infraestrutura, incluindo cargas de trabalho locais e configurações de provedores de nuvem, de um único provedor de nuvem.
- Se você precisa de controle e flexibilidade sobre o gerenciamento de certificados TLS para personalizá-lo de acordo com os requisitos da sua infraestrutura.
- Se você quiser automatizar o gerenciamento de certificados TLS, mas não puder usar certificados gerenciados em serviços Google Cloud , como o GKE ou o Cloud Load Balancing.
Recomendamos que você use certificados confiáveis publicamente apenas quando os requisitos de negócios não permitirem outra opção. Devido ao custo histórico e à complexidade de manter hierarquias de infraestrutura de chave pública (PKI), muitas empresas usam hierarquias de PKI públicas, mesmo quando uma hierarquia privada faz mais sentido.
A manutenção de hierarquias públicas e privadas ficou muito mais simples com várias ofertas deGoogle Cloud . Recomendamos que você escolha cuidadosamente o tipo certo de PKI para seu caso de uso.
Para requisitos de certificados não públicos,o Google Cloud oferece duas soluções fáceis de gerenciar:
Anthos Service Mesh: o Cloud Service Mesh inclui o provisionamento de certificados mTLS totalmente automatizado para cargas de trabalho executadas no GKE Enterprise usando a autoridade de certificação do Cloud Service Mesh.
Certificate Authority Service: o Certificate Authority Service permite implantar, gerenciar e proteger ACs particulares personalizadas de maneira eficiente sem gerenciar a infraestrutura.
Benefícios da AC pública
A AC pública oferece os seguintes benefícios:
Automação: como os navegadores da Internet têm como objetivo o tráfego totalmente criptografado e a redução dos períodos de validade dos certificados, há o risco de usar certificados TLS expirados. A expiração do certificado pode causar erros no site e interrupções no serviço. A AC pública evita o problema de expiração do certificado, permitindo que você configure o servidor HTTPS para obter e renovar automaticamente os certificados TLS necessários do endpoint ACME.
Compliance: as ACs públicas passam por auditorias independentes rigorosas e regulares de controles de segurança, privacidade e compliance. Os selos do Webtrust concedidos como resultado dessas auditorias anuais demonstram a conformidade da AC pública com todos os padrões relevantes do setor.
Segurança: a arquitetura e as operações da AC pública são projetadas para o mais alto nível de padrões de segurança e executam avaliações independentes regularmente para confirmar a segurança da infraestrutura subjacente. A AC pública atende ou excede todos os controles, práticas operacionais e medidas de segurança mencionados no documento de políticas de segurança do Google.
O foco da AC pública na segurança se estende a recursos como a validação de domínio de várias perspectivas. A infraestrutura da AC pública é distribuída globalmente. Portanto, a AC pública exige um alto grau de concordância em perspectivas geograficamente diversas, o que oferece proteção contra ataques de sequestro do protocolo de gateway de borda (BGP) e de sequestro do servidor de nomes de domínio (DNS).
Confiabilidade: o uso da infraestrutura técnica comprovada do Google torna a AC pública um serviço altamente disponível e escalonável.
Ubiquidade:a ubiquidade de navegadores do Google Trust Services ajuda a garantir que os serviços que usam certificados emitidos por ACs públicas funcionem na maior variedade possível de dispositivos e sistemas operacionais.
Soluções TLS simplificadas para configurações híbridas: as ACs públicas permitem criar uma solução de certificado TLS personalizada que usa a mesma AC para diversos cenários e casos de uso. A AC pública atende de maneira eficaz aos casos de uso em que as cargas de trabalho são executadas localmente ou em um ambiente de provedor cross-cloud.
Escalabilidade: os certificados costumam ser caros e difíceis de provisionar e manter. Ao oferecer acesso a grandes volumes de certificados, as ACs públicas permitem que você utilize e gerencie certificados de maneiras que antes eram consideradas impraticáveis.
Limitações da AC pública
Esta versão da AC pública não oferece suporte a domínios punycode.