Vous pouvez utiliser l'autorité de certification publique de l'autorité de certification pour provisionner et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur contrôle les domaines. LPublic CA vous permet de demander directement et de manière automatisée des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet.
Public CA vous permettent de gérer de nombreux cas d'utilisation que les CA traditionnelles n'ont pas pu prendre en charge. Si vous êtes client Google Cloud, vous pouvez demander des certificats TLS pour vos domaines directement auprès d'une autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur ou à une supervision humaine. Nous vous recommandons donc d'automatiser les cycles de vie des certificats. L'Public CA utilise le protocole d'environnement de gestion automatique des certificats (ACME) pour le provisionnement, le renouvellement et la révocation automatiques des certificats. La gestion automatisée des certificats réduit les temps d'arrêt que les certificats expirés peuvent entraîner et réduit les coûts opérationnels.
Public CA provisionne des certificats TLS pour plusieurs services Google Cloud, tels qu'App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser Public CA ?
Vous pouvez utiliser Public CA pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS offrant une grande disponibilité, une évolutivité, une sécurité et une fiabilité élevées.
- Si vous souhaitez obtenir la plupart, voire la totalité, des certificats TLS pour votre infrastructure, y compris des charges de travail sur site et des configurations de fournisseurs multicloud, à partir d'un seul fournisseur cloud.
- Si vous avez besoin de contrôle et de flexibilité sur la gestion des certificats TLS pour la personnaliser en fonction des exigences de votre infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS, mais que vous ne pouvez pas utiliser de certificats gérés dans les services Google Cloud, tels que GKE ou Cloud Load Balancing.
Nous vous recommandons de n'utiliser des certificats reconnus publiquement que lorsque les exigences de votre entreprise ne permettent pas une autre option. Compte tenu du coût historique et de la complexité liés à la maintenance des hiérarchies d'infrastructure à clé publique (PKI), de nombreuses entreprises utilisent des hiérarchies d'infrastructure à clé publique, même lorsqu'une hiérarchie privée est plus logique.
La maintenance des hiérarchies publiques et privées est devenue beaucoup plus simple grâce aux multiples offres Google Cloud. Nous vous recommandons de choisir soigneusement le type d'ICP adapté à votre cas d'utilisation.
Pour les exigences de certificats non publics, Google Cloud propose deux solutions faciles à gérer:
Anthos Service Mesh: Cloud Service Mesh inclut le provisionnement de certificats mTLS entièrement automatisés pour les charges de travail exécutées dans GKE Enterprise via l'autorité de certification Cloud Service Mesh (autorité de certification Cloud Service Mesh).
Certificate Authority Service : Certificate Authority Service vous permet de déployer, de gérer et de sécuriser efficacement des autorités de certification privées personnalisées sans gérer l'infrastructure.
Avantages de Public CA
Public CA offrent les avantages suivants:
Automatisation: étant donné que les navigateurs Internet visent à assurer un trafic entièrement chiffré et à réduire la durée de validité des certificats, il existe un risque d'utilisation de certificats TLS arrivés à expiration. L'expiration d'un certificat peut entraîner des erreurs sur le site Web et provoquer des interruptions de service. L'Public CA évite le problème d'expiration des certificats en vous permettant de configurer votre serveur HTTPS pour qu'il obtienne et renouvelle automatiquement les certificats TLS nécessaires à partir de notre point de terminaison ACME.
Conformité: Public CA font régulièrement l'objet d'audits indépendants rigoureux, portant sur les contrôles de sécurité, de confidentialité et de conformité. Les sceaux Webtrust obtenus à l'issue de ces audits annuels prouvent que l'autorité de certification publique est conforme à toutes les normes du secteur.
Sécurité: l'architecture et les opérations de l'Public CA sont conçues selon les normes de sécurité les plus strictes et effectuent régulièrement des évaluations indépendantes pour confirmer la sécurité de l'infrastructure sous-jacente. Une Public CA respecte ou dépasse l'ensemble des contrôles, pratiques opérationnelles et mesures de sécurité mentionnés dans le livre blanc sur la sécurité de Google.
L'accent mis par les autorités de certification publiques sur la sécurité s'étend à des fonctionnalités telles que la validation de domaine dans plusieurs perspectives. L’infrastructure de Public CA est répartie dans le monde entier. Par conséquent, Public CA nécessite un niveau élevé d'accord sur différentes perspectives géographiques, ce qui offre une protection contre le piratage du protocole BGP (Border Gateway Protocol) et le détournement de serveur de noms de domaine (DNS).
Fiabilité: l'utilisation de l'infrastructure technique éprouvée de Google fait de l'Public CA un service évolutif et disponibilité élevée.
Ubiquité:l'omniprésence des navigateurs Google Trust Services garantit que les services utilisant des certificats émis par des Public CA fonctionnent sur la plus large gamme possible d'appareils et de systèmes d'exploitation.
Solutions TLS simplifiées pour les configurations hybrides: l'Public CA vous permet de créer une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Une Public CA répond efficacement aux cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement de fournisseur multicloud.
Évolutivité: les certificats sont souvent coûteux à obtenir, et difficiles à provisionner et à gérer. En donnant accès à de grands volumes de certificats, l'Public CA vous permet d'utiliser et de gérer des certificats d'une manière qui était auparavant considérée comme peu pratique.
Limites de lPublic CA
Cette version de lPublic CA n'est pas compatible avec les domaines Punycode.