Puedes usar la CA de la autoridad certificadora pública para aprovisionar e implementar certificados X.509 de confianza después de validar que el solicitante de certificado controle los dominios. Public CA te permite solicitar de forma directa y programática certificados TLS de confianza pública que ya se encuentren en la raíz de los almacenes de confianza que usan los principales navegadores, sistemas operativos y aplicaciones. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet.
Public CA te permite administrar casos prácticos de gran volumen que las CA tradicionales no pudieron admitir. Si eres cliente de Google Cloud, puedes solicitar certificados TLS para tus dominios directamente desde Public CA.
La mayoría de los problemas relacionados con los certificados se deben a errores humanos o a la supervisión, por lo que recomendamos automatizar los ciclos de vida de los certificados. Public CA usa el protocolo de Entorno de administración de certificados automático (ACME) para el aprovisionamiento, la renovación y la revocación automáticos de los certificados. La administración automatizada de certificados reduce el tiempo de inactividad que pueden causar los certificados vencidos y minimiza los costos operativos.
La Public CA aprovisiona certificados TLS para varios servicios de Google Cloud, como App Engine, Cloud Shell, Google Kubernetes Engine y Cloud Load Balancing.
Quiénes deberían usar Public CA
Puedes usar Public CA por los siguientes motivos:
- Si buscas un proveedor de TLS con alta ubicuidad, escalabilidad, seguridad y confiabilidad.
- Si deseas la mayoría de los certificados TLS, si no todos, para la infraestructura, incluidas las cargas de trabajo locales y las configuraciones de proveedores de múltiples nubes, desde un único proveedor de servicios en la nube.
- Si necesitas control y flexibilidad sobre la administración de certificados TLS para personalizarla según los requisitos de tu infraestructura
- Si deseas automatizar la administración de certificados TLS, pero no puedes usar certificados administrados en los servicios de Google Cloud, como GKE o Cloud Load Balancing.
Te recomendamos que solo utilices certificados de confianza pública cuando los requisitos de tu negocio no permitan otra opción. Debido al costo histórico y la complejidad de mantener jerarquías de infraestructura de clave pública (PKI), muchas empresas usan jerarquías de PKI públicas, incluso cuando una jerarquía privada tiene más sentido.
Mantener las jerarquías públicas y privadas es mucho más sencillo con varias ofertas de Google Cloud. Te recomendamos que elijas con cuidado el tipo de PKI correcto para tu caso de uso.
Para requisitos de certificados no públicos, Google Cloud ofrece dos soluciones fáciles de administrar:
Anthos Service Mesh: Anthos Service Mesh incluye aprovisionamiento de certificados mTLS completamente automatizado para cargas de trabajo que se ejecutan en GKE Enterprise mediante la autoridad certificadora de Anthos Service Mesh (CA de Mesh).
Certificate Authority Service: Certificate Authority Service te permite implementar, administrar y proteger AC privadas personalizadas de manera eficiente sin tener que administrar la infraestructura.
Beneficios de Public CA
Public CA ofrece los siguientes beneficios:
Automatización: Dado que los navegadores de Internet buscan tráfico completamente encriptado y reducen los períodos de validez de los certificados, existe el riesgo de usar certificados TLS vencidos. El vencimiento del certificado puede provocar errores en el sitio web y causar interrupciones del servicio. Public CA evita el problema del vencimiento de certificados, ya que te permite configurar tu servidor HTTPS para obtener y renovar automáticamente los certificados TLS necesarios desde nuestro extremo de ACME.
Cumplimiento: Public CA se somete a auditorías independientes rigurosas y periódicas de los controles de seguridad, privacidad y cumplimiento. Los sellos de Webtrust otorgados como resultado de estas auditorías anuales demuestran el cumplimiento de Public CA con todos los estándares relevantes de la industria.
Seguridad: La arquitectura y las operaciones de Public CA están diseñadas con el nivel más alto de estándares de seguridad y ejecutan evaluaciones independientes con regularidad para confirmar la seguridad de la infraestructura subyacente. Public CA cumple o supera todos los controles, las prácticas operativas y las medidas de seguridad que se mencionan en el informe de seguridad de Google.
El enfoque de Public CA en la seguridad se extiende a funciones como la validación de dominios con varias perspectivas. La infraestructura de Public CA se distribuye a nivel global. Por lo tanto, Public CA requiere un alto grado de acuerdo en perspectivas diferentes a nivel geográfico, lo que proporciona protección contra la usurpación de protocolo de puerta de enlace fronteriza (BGP) y los ataques de usurpación del servidor de nombres de dominio (DNS).
Confiabilidad: El uso de la infraestructura técnica comprobada de Google hace que Public CA sea un servicio escalable y con alta disponibilidad.
Ubicuidad: La sólida ubicuidad del navegador de Google Trust Services garantiza que los servicios que usan certificados que emite Public CA funcionen en la más amplia gama posible de dispositivos y sistemas operativos.
Soluciones de TLS optimizadas para configuraciones híbridas: Public CA te permite compilar una solución de certificado TLS personalizada que use la misma CA para diferentes situaciones y casos de uso. Public CA sirve de manera eficaz para los casos de uso en los que las cargas de trabajo se ejecutan de forma local o en un entorno de proveedores de múltiples nubes.
Escala: A menudo, la obtención de certificados ha sido costosa y difícil de aprovisionar y mantener. Cuando ofreces acceso a grandes volúmenes de certificados, Public CA te permite usar y administrar certificados de formas que antes se consideraban poco prácticas.
Limitaciones de Public CA
Esta versión de Public CA no admite dominios de punycode.