Vous pouvez utiliser l'autorité de certification publique pour provisionner et déployer des certificats X.509 largement fiables après avoir vérifié que le demandeur de certificat contrôle les domaines. Public CA vous permettent de demander directement et de manière automatisée des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet.
Public CA vous permettent de gérer des cas d'utilisation de grands volumes de données que les autorités de certification traditionnelles n'ont pas pu gérer. Si vous êtes client Google Cloud, vous pouvez demander des certificats TLS pour vos domaines directement à partir d'une autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur humaine ou à une supervision. Nous vous recommandons donc d'automatiser les cycles de vie des certificats. Public CA utilisent le protocole ACME (Automatic Certificate Management Environment) pour le provisionnement, le renouvellement et la révocation automatiques des certificats. La gestion automatisée des certificats réduit les temps d'arrêt que les certificats expirés peuvent causer et réduit les coûts d'exploitation.
L'Public CA provisionne des certificats TLS pour plusieurs services Google Cloud, tels que App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser Public CA ?
Vous pouvez utiliser Public CA pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS offrant une ubiquité, une évolutivité, une sécurité et une fiabilité élevées.
- Si vous souhaitez obtenir la plupart, voire la totalité, des certificats TLS pour votre infrastructure, y compris les charges de travail sur site et les configurations de fournisseurs multicloud, provenant d'un seul fournisseur cloud.
- Si vous avez besoin de contrôle et de flexibilité sur la gestion des certificats TLS pour la personnaliser en fonction des exigences de votre infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS, mais que vous ne pouvez pas utiliser de certificats gérés dans des services Google Cloud tels que GKE ou Cloud Load Balancing,
Nous vous recommandons de n'utiliser des certificats publiquement approuvés que lorsque les exigences de votre entreprise n'autorisent pas d'autre option. Compte tenu du coût et de la complexité historiques liés à la gestion des hiérarchies d'infrastructure à clé publique (PKI), de nombreuses entreprises utilisent des hiérarchies PKI publiques, même lorsqu'une hiérarchie privée est plus logique.
Il est devenu beaucoup plus simple de gérer les hiérarchies publiques et privées avec plusieurs offres Google Cloud. Nous vous recommandons de choisir soigneusement le type d'ICP adapté à votre cas d'utilisation.
Pour les exigences de certificats non publics, Google Cloud propose deux solutions faciles à gérer:
Anthos Service Mesh: Cloud Service Mesh inclut le provisionnement de certificats mTLS entièrement automatisé pour les charges de travail exécutées dans GKE Enterprise à l'aide de l'autorité de certification Cloud Service Mesh.
Certificate Authority Service : Certificate Authority Service vous permet de déployer, gérer et sécuriser efficacement des autorités de certification privées personnalisées sans avoir à gérer l'infrastructure.
Avantages de Public CA
Public CA offrent les avantages suivants:
Automatisation: étant donné que les navigateurs Internet visent à obtenir un trafic entièrement chiffré et à réduire les périodes de validité des certificats, il existe un risque d'utilisation de certificats TLS expirés. L'expiration du certificat peut entraîner des erreurs sur le site Web et des interruptions de service. Public CA évite le problème d'expiration des certificats en vous permettant de configurer votre serveur HTTPS pour obtenir et renouveler automatiquement les certificats TLS nécessaires à partir de notre point de terminaison ACME.
Conformité: Public CA sont régulièrement soumises à des audits indépendants rigoureux au sujet des contrôles de sécurité, de confidentialité et de conformité. Les certifications Webtrust accordées à la suite de ces audits annuels démontrent la conformité de l'autorité de certification publique à toutes les normes du secteur applicables.
Sécurité: l'architecture et les opérations de Public CA sont conçues selon les normes de sécurité les plus strictes et effectuent régulièrement des évaluations indépendantes pour confirmer la sécurité de l'infrastructure sous-jacente. Public CA respectent ou dépassent l'ensemble des contrôles, pratiques opérationnelles et mesures de sécurité mentionnés dans le livre blanc sur la sécurité de Google.
L'accent mis par les autorités de certification publiques sur la sécurité s'étend aux fonctionnalités telles que la validation de domaine multiperspective. L’infrastructure d’Public CA est distribuée à l’échelle mondiale. Par conséquent, Public CA exigent un haut niveau d'accord entre des perspectives géographiquement diversifiées, ce qui fournit une protection contre le détournement de protocole BGP (Border Gateway Protocol) et le piratage de serveur de noms de domaine (DNS).
Fiabilité: l'utilisation de l'infrastructure technique éprouvée de Google fait des Public CA un service disponibilité élevée et évolutif.
Ubiquité:la forte omniprésence des navigateurs des Google Trust Services garantit que les services utilisant des certificats délivrés par Public CA fonctionnent sur le plus large éventail possible d'appareils et de systèmes d'exploitation.
Simplification des solutions TLS pour les configurations hybrides: Public CA vous permet de créer une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Public CA répondent efficacement aux cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement de fournisseur multicloud.
Échelle: les certificats sont souvent coûteux à obtenir, et difficiles à provisionner et à gérer. En offrant un accès à d'importants volumes de certificats, Public CA vous permettent d'utiliser et de gérer les certificats d'une manière qui était auparavant considérée comme peu pratique.
Limites de Public CA
Cette version d'Public CA n'est pas compatible avec les domaines Punycode.