Puedes usar la AC de la autoridad certificadora pública para aprovisionar e implementar certificados X.509 de confianza general después de validar que el solicitante del certificado controla los dominios. La AC pública te permite solicitar de forma directa y programática certificados TLS de confianza pública que ya se encuentran en la raíz de los almacenes de confianza que usan los navegadores, los sistemas operativos y las aplicaciones principales. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet.
La AC pública te permite administrar casos de uso de gran volumen que las AC tradicionales no pudieron admitir. Si eres cliente de Google Cloud , puedes solicitar certificados TLS para tus dominios directamente desde la AC pública.
La mayoría de los problemas relacionados con los certificados se deben a errores humanos o descuidos, por lo que recomendamos automatizar los ciclos de vida de los certificados. La AC pública usa el protocolo de entorno automático de administración de certificados (ACME) para el aprovisionamiento, la renovación y la revocación automatizados de los certificados. La administración automática de certificados reduce el tiempo de inactividad que pueden causar los certificados vencidos y minimiza los costos operativos.
Las AC públicas proporcionan certificados TLS para varios Google Cloud servicios, como App Engine, Cloud Shell, Google Kubernetes Engine y Cloud Load Balancing.
Quién debería usar la AC pública
Puedes usar la AC pública por los siguientes motivos:
- Si buscas un proveedor de TLS con alta ubiquity, escalabilidad, seguridad y confiabilidad.
- Si deseas obtener la mayoría de los certificados TLS para tu infraestructura, incluso las cargas de trabajo locales y las configuraciones de proveedores de varias nubes, desde un solo proveedor de servicios en la nube.
- Si necesitas control y flexibilidad sobre la administración de certificados TLS para personalizarlos según los requisitos de tu infraestructura.
- Si quieres automatizar la administración de certificados TLS, pero no puedes usar certificados administrados en servicios de Google Cloud , como GKE o Cloud Load Balancing.
Te recomendamos que solo uses certificados de confianza pública cuando los requisitos de tu empresa no permitan otra opción. Debido al costo histórico y la complejidad de mantener jerarquías de infraestructura de clave pública (PKI), muchas empresas usan jerarquías de PKI públicas, incluso cuando una jerarquía privada tiene más sentido.
Mantener jerarquías públicas y privadas se volvió mucho más sencillo con las múltiples ofertas deGoogle Cloud . Te recomendamos que elijas cuidadosamente el tipo correcto de PKI para tu caso de uso.
Para los requisitos de certificados no públicos, Google Cloud ofrece dos soluciones fáciles de administrar:
Anthos Service Mesh: Cloud Service Mesh incluye el aprovisionamiento de certificados de mTLS completamente automatizado para cargas de trabajo que se ejecutan en GKE Enterprise con la autoridad certificadora de Cloud Service Mesh.
Certificate Authority Service: Certificate Authority Service te permite implementar, administrar y proteger AC privadas personalizadas de manera eficiente sin administrar la infraestructura.
Beneficios de la AC pública
Las AC públicas proporcionan los siguientes beneficios:
Automatización: Como los navegadores de Internet buscan tráfico completamente encriptado y la reducción de los períodos de validez de los certificados, existe el riesgo de usar certificados TLS vencidos. El vencimiento de los certificados puede generar errores en el sitio web y provocar interrupciones del servicio. La AC pública evita el problema del vencimiento de los certificados, ya que te permite configurar tu servidor HTTPS para que obtenga y renueve automáticamente los certificados TLS necesarios desde nuestro extremo ACME.
Cumplimiento: Las AC públicas se someten a auditorías independientes, rigurosas y periódicas de los controles de seguridad, privacidad y cumplimiento. Los sellos de Webtrust otorgados como resultado de estas auditorías anuales demuestran el cumplimiento de la AC pública con todos los estándares de la industria relevantes.
Seguridad: La arquitectura y las operaciones de la AC pública están diseñadas según el nivel más alto de estándares de seguridad y, con frecuencia, se ejecutan evaluaciones independientes para confirmar la seguridad de la infraestructura subyacente. Las AC públicas cumplen o superan todos los controles, las prácticas operativas y las medidas de seguridad que se mencionan en el informe de seguridad de Google.
El enfoque de las AC públicas en la seguridad se extiende a funciones como la validación de dominios de múltiples perspectivas. La infraestructura de la AC pública está distribuida a nivel mundial. Por lo tanto, la AC pública requiere un alto grado de acuerdo entre perspectivas geográficamente diversas, lo que brinda protección contra los ataques de secuestro del protocolo de puerta de enlace de frontera (BGP) y de secuestro del servidor de nombres de dominio (DNS).
Confiabilidad: El uso de la infraestructura técnica comprobada de Google hace que la AC pública sea un servicio escalable y de alta disponibilidad.
Ubicuidad: La gran ubiquidad de navegadores de los Servicios de confianza de Google ayuda a garantizar que los servicios que usan certificados que emite la AC pública funcionen en la mayor variedad posible de dispositivos y sistemas operativos.
Soluciones de TLS optimizadas para configuraciones híbridas: Las AC públicas te permiten compilar una solución de certificado TLS personalizada que use la misma AC para diversas situaciones y casos de uso. La AC pública entrega de manera eficaz los casos de uso en los que las cargas de trabajo se ejecutan de forma local o en un entorno de proveedor multinube.
Escalabilidad: A menudo, los certificados son costosos de obtener y difíciles de aprovisionar y mantener. Debido a que ofrece acceso a grandes volúmenes de certificados, la AC pública te permite usar y administrar certificados de formas que antes se consideraban poco prácticas.
Limitaciones de las AC públicas
Esta versión de la AC pública no admite dominios Punycode.