Vous pouvez utiliser l'autorité de certification publique pour provisionner et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur de certificat contrôle les domaines. Public CA vous permettent directement et programmatiquement demander des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour pour authentifier et chiffrer le trafic Internet.
Les autorités de certification publiques vous permettent de gérer des cas d'utilisation à fort volume que les autorités de certification traditionnelles n'ont pas pu prendre en charge. Si vous êtes client Google Cloud, vous pouvez demander des certificats TLS pour vos domaines directement auprès d'une autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur ou à une négligence humaine. Nous vous recommandons donc d'automatiser le cycle de vie des certificats. L'Public CA utilise Environnement de gestion automatique des certificats (ACME) pour le provisionnement, le renouvellement et la révocation certificats. La gestion automatisée des certificats réduit les temps d'arrêt arrivés à expiration peuvent entraîner des coûts opérationnels et les réduire.
Public CA provisionne des certificats TLS pour plusieurs services Google Cloud tels que App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser une autorité de certification publique ?
Vous pouvez utiliser Public CA pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS disposant d'une grande disponibilité, d'une évolutivité la sécurité et la fiabilité.
- Si vous voulez la plupart, voire tous, des certificats TLS pour votre infrastructure, y compris des charges de travail sur site et des configurations de fournisseurs multicloud, un seul fournisseur de services cloud.
- Si vous avez besoin de contrôle et de flexibilité sur la gestion des certificats TLS pour à les adapter à vos exigences d'infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS, mais que vous ne pouvez pas utiliser de certificats gérés dans les services Google Cloud, tels que GKE ou Cloud Load Balancing.
Nous vous recommandons de n'utiliser des certificats approuvés publiquement que lorsque vos exigences métier ne permettent pas d'autres options. Compte tenu des coûts et de la complexité historiques de la gestion des hiérarchies d'infrastructure de clés publiques (PKI), de nombreuses entreprises utilisent des hiérarchies PKI publiques, même lorsqu'une hiérarchie privée est plus adaptée.
La gestion des hiérarchies publiques et privées est devenue beaucoup plus simple grâce à plusieurs offres Google Cloud. Nous vous conseillons de choisir le bon type PKI pour votre cas d'utilisation.
Pour les exigences de certificats non publics, Google Cloud propose deux solutions faciles à gérer :
Anthos Service Mesh: Cloud Service Mesh inclut le provisionnement de certificats mTLS entièrement automatisé pour les charges de travail exécutées dans GKE Enterprise utilisant l'autorité de certification Cloud Service Mesh (autorité de certification Cloud Service Mesh)
Certificate Authority Service: Certificate Authority Service vous permet de déployer, gérer et sécuriser efficacement les autorités de certification privées personnalisées de l'infrastructure.
Avantages de Public CA
Public CA offrent les avantages suivants:
Automatisation: les navigateurs Internet cherchent à chiffrer entièrement le trafic la réduction des périodes de validité des certificats, il existe un risque d’utilisation les certificats TLS arrivés à expiration. L'expiration d'un certificat peut entraîner des erreurs sur le site Web, et peuvent entraîner des interruptions de service. L'Public CA évite d'expiration du certificat en vous laissant configurer votre serveur HTTPS pour obtenir et renouveler automatiquement les certificats TLS nécessaires auprès de notre ACME ; point de terminaison unique.
Conformité : les autorités de certification publiques sont régulièrement soumises à des audits indépendants rigoureux de leurs dispositifs de sécurité, de confidentialité et de conformité. Le site Webtrust sceaux accordés à l'issue de ces audits annuels démontrer la conformité de Public CA avec toutes les normes du secteur.
Sécurité : l'architecture et les opérations de l'autorité de certification publique sont conçues selon les normes de sécurité les plus élevées et effectuent régulièrement des évaluations indépendantes pour confirmer la sécurité de l'infrastructure sous-jacente. Une autorité de certification publique respecte ou dépasse tous les contrôles, pratiques opérationnelles et mesures de sécurité mentionnés dans le livre blanc sur la sécurité Google.
L'accent mis par Public CA sur la sécurité s'étend à des fonctionnalités telles que la validation de domaine dans plusieurs perspectives. L'infrastructure de Public CA est répartis dans le monde entier. Par conséquent, une autorité de certification publique nécessite un haut niveau d'accord entre des perspectives géographiquement diverses, ce qui offre une protection contre les attaques de détournement de BGP (Border Gateway Protocol) et de détournement de DNS (Domain Name Server).
Fiabilité : l'utilisation de l'infrastructure technique éprouvée de Google fait de la CA publique un service hautement disponible et évolutif.
Ubiquité : l'ubiquité forte des navigateurs des services de confiance Google garantit que les services utilisant des certificats émis par une autorité de certification publique fonctionnent sur la plus large gamme d'appareils et de systèmes d'exploitation possible.
Solutions TLS simplifiées pour les configurations hybrides : les autorités de certification publiques vous permettent de créer une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Les autorités de certification publiques répondent efficacement aux cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement multi-fournisseur cloud.
Échelle : l'obtention des certificats a souvent été coûteuse, et leur provisionnement et leur maintenance difficiles. En offrant l’accès à de grands volumes de certificats, Public CA vous permet d'utiliser et de gérer les certificats étaient auparavant considérées comme peu pratiques.
Limites des autorités de certification publiques
Cette version de Public CA n'est pas compatible avec les domaines Punycode.