Puedes usar la AC de la autoridad certificadora pública para aprovisionar e implementar certificados X.509 de gran confianza después de validar que el solicitante del certificado controla los dominios. La AC pública te permite solicitar de forma directa y programática certificados TLS de confianza pública que ya se encuentran en la raíz de los almacenes de confianza que usan los navegadores, los sistemas operativos y las aplicaciones principales. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet.
Public CA permite administrar casos de uso de gran volumen que Las AC no pueden admitirlo. Si eres cliente de Google Cloud, puedes solicitar certificados TLS para sus dominios directamente desde la AC pública.
La mayoría de los problemas relacionados con los certificados se deben a errores humanos o descuidos, por lo que te recomendamos automatizar los ciclos de vida de los certificados. Public CA usa Entorno de administración automática de certificados (ACME) para el aprovisionamiento, la renovación y la revocación automatizados de certificados. La administración automática de certificados reduce el tiempo de inactividad que pueden causar los certificados vencidos y minimiza los costos operativos.
Las AC públicas proporcionan certificados TLS para varios servicios de Google Cloud, como App Engine, Cloud Shell, Google Kubernetes Engine y Cloud Load Balancing.
Quiénes deben usar Public CA
Puedes usar Public CA por los siguientes motivos:
- Si buscas un proveedor de TLS con alta ubiquity, escalabilidad, seguridad y confiabilidad.
- Si desea la mayoría de los certificados TLS, si no todos, para su infraestructura incluidas las cargas de trabajo locales y las configuraciones de proveedores entre nubes, desde un y un único proveedor de servicios en la nube.
- Si necesitas control y flexibilidad sobre la administración de certificados TLS para personalizarla según los requisitos de tu infraestructura.
- Si quieres automatizar la administración de certificados TLS, pero no puedes usar certificados administrados en servicios de Google Cloud, como GKE o Cloud Load Balancing.
Te recomendamos que solo uses certificados de confianza pública cuando los requisitos de tu empresa no permitan otra opción. Dados los costos históricos y la complejidad de mantenerlas de infraestructura clave (PKI), muchas empresas usan PKI públicas jerárquicas, incluso cuando una jerarquía privada tiene más sentido.
Mantener jerarquías públicas y privadas se volvió mucho más simple con las múltiples ofertas de Google Cloud. Te recomendamos que elijas cuidadosamente el tipo correcto de PKI para tu caso de uso.
Para los requisitos de certificados no públicos, Google Cloud ofrece dos opciones soluciones:
Anthos Service Mesh: Cloud Service Mesh incluye el aprovisionamiento de certificados de mTLS completamente automatizado para cargas de trabajo que se ejecutan en GKE Enterprise con la autoridad certificadora de Cloud Service Mesh.
Certificate Authority Service: Certificate Authority Service te permite implementar, administrar y proteger AC privadas personalizadas de manera eficiente sin administrar la infraestructura.
Beneficios de Public CA
Las AC públicas proporcionan los siguientes beneficios:
Automatización: Como los navegadores de Internet buscan tráfico completamente encriptado y la reducción de los períodos de validez de los certificados, existe el riesgo de usar certificados TLS vencidos. El vencimiento de los certificados puede provocar errores en el sitio web y interrupciones del servicio. Public CA evita las problema de vencimiento de certificados permitiéndote configurar tu servidor HTTPS para obtener y renovar automáticamente los certificados TLS necesarios de nuestra ACME extremo.
Cumplimiento: Public CA se somete regularmente a procesos independientes y rigurosos. auditorías de controles de seguridad, privacidad y cumplimiento. La página Webtrust sellos discográficos otorgados como resultado de estas auditorías anuales demostrar la conformidad de Public CA con todos los con los estándares de la industria.
Seguridad: La arquitectura y las operaciones de las AC públicas están diseñadas según el nivel más alto de estándares de seguridad y, con frecuencia, se ejecutan evaluaciones independientes para confirmar la seguridad de la infraestructura subyacente. Las AC públicas cumplen o superan todos los controles, las prácticas operativas y las medidas de seguridad que se mencionan en el informe de seguridad de Google.
El enfoque de las AC públicas en la seguridad se extiende a funciones como la validación de dominios de múltiples perspectivas. La infraestructura de Public CA es distribuidos en todo el mundo. Por lo tanto, la AC pública requiere un alto grado de acuerdo entre perspectivas geográficamente diversas, lo que brinda protección contra los ataques de secuestro del protocolo de puerta de enlace de frontera (BGP) y de secuestro del servidor de nombres de dominio (DNS).
Confiabilidad: El uso de la infraestructura técnica comprobada de Google Public CA es un servicio escalable y con alta disponibilidad.
Ubicuidad: La sólida ubicuidad de los navegadores de Google Trust Services ayuda a garantizar que los servicios que usan certificados que los problemas de Public CA funcionen en la mayor medida posible variedad de dispositivos y sistemas operativos.
Soluciones de TLS optimizadas para configuraciones híbridas: Las AC públicas te permiten compilar una solución de certificado TLS personalizada que use la misma AC para diversas situaciones y casos de uso. Public CA publica de forma eficaz los casos de uso en los que las cargas de trabajo se ejecutan de manera local o entre nubes del proveedor de servicios en la nube.
Escalabilidad: A menudo, los certificados son costosos de obtener y difíciles de aprovisionar y mantener. Debido a que ofrece acceso a grandes volúmenes de certificados, la AC pública te permite usar y administrar certificados de formas que antes se consideraban poco prácticas.
Limitaciones de Public CA
Esta versión de la AC pública no admite dominios Punycode.