Vous pouvez utiliser l'autorité de certification publique pour provisionner et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur de certificat contrôle les domaines. Une autorité de certification publique vous permet de demander directement et par programmation des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour pour authentifier et chiffrer le trafic Internet.
Public CA vous permettent de gérer de gros volumes de cas d'utilisation Les autorités de certification n'ont pas réussi à prendre en charge. Si vous êtes client Google Cloud, vous pouvez demander des certificats TLS pour vos domaines directement auprès d'une autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur ou à une supervision humaine. Nous recommandent d'automatiser les cycles de vie des certificats. L'Public CA utilise Environnement de gestion automatique des certificats (ACME) pour le provisionnement, le renouvellement et la révocation certificats. La gestion automatisée des certificats réduit les temps d'arrêt pouvant être causés par les certificats expirés et minimise les coûts opérationnels.
Public CA provisionne des certificats TLS pour plusieurs services Google Cloud tels que App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser une autorité de certification publique ?
Vous pouvez utiliser Public CA pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS disposant d'une omniprésence, d'une évolutivité la sécurité et la fiabilité.
- Si vous voulez la plupart, voire tous, des certificats TLS pour votre infrastructure, y compris des charges de travail sur site et des configurations de fournisseurs multicloud, un seul fournisseur de services cloud.
- Si vous avez besoin de contrôler et de gérer de manière flexible la gestion des certificats TLS pour l'adapter à vos exigences d'infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS mais que vous ne pouvez pas utiliser certificats gérés dans les services Google Cloud, tels que GKE ou Cloud Load Balancing.
Nous vous recommandons de n'utiliser des certificats reconnus publiquement que si les exigences de votre entreprise n'autorisez pas d'autre option. Étant donné le coût et la complexité historiques liés à la maintenance infrastructures clés (PKI), de nombreuses entreprises utilisent une infrastructure PKI publique même lorsqu'une hiérarchie privée a plus de sens.
La gestion des hiérarchies publiques et privées est devenue beaucoup plus simple grâce à plusieurs offres Google Cloud. Nous vous conseillons de choisir le bon type PKI pour votre cas d'utilisation.
Pour les exigences de certificat non public, Google Cloud propose deux solutions solutions:
Anthos Service Mesh : Cloud Service Mesh inclut le provisionnement entièrement automatisé des certificats mTLS pour les charges de travail exécutées dans GKE Enterprise à l'aide de l'autorité de certification Cloud Service Mesh.
Certificate Authority Service (Service d'autorité de certification) : Certificate Authority Service vous permet de déployer, de gérer et de sécuriser efficacement des autorités de certification privées personnalisées sans gérer l'infrastructure.
Avantages d'une autorité de certification publique
Les autorités de certification publiques offrent les avantages suivants :
Automatisation: les navigateurs Internet cherchent à chiffrer entièrement le trafic la réduction des périodes de validité des certificats, il existe un risque d’utilisation les certificats TLS arrivés à expiration. L'expiration d'un certificat peut entraîner des erreurs sur le site Web, et peuvent entraîner des interruptions de service. Une autorité de certification publique évite le problème d'expiration des certificats en vous permettant de configurer votre serveur HTTPS pour qu'il obtienne et renouvelle automatiquement les certificats TLS nécessaires à partir de notre point de terminaison ACME.
Conformité : les autorités de certification publiques sont régulièrement soumises à des audits indépendants rigoureux de leurs dispositifs de sécurité, de confidentialité et de conformité. Le protocole Webtrust sceaux accordés à l'issue de ces audits annuels démontrer la conformité de Public CA avec toutes les normes du secteur.
Sécurité : l'architecture et les opérations des autorités de certification publiques sont conçues selon les normes de sécurité les plus élevées. Elles effectuent régulièrement des évaluations indépendantes pour confirmer la sécurité de l'infrastructure sous-jacente. Public CA respecte ou dépasse toutes les pratiques opérationnelles et mesures de sécurité mentionnées dans les Livre blanc sur la sécurité de Google
L'accent mis par les autorités de certification publiques sur la sécurité s'étend à des fonctionnalités telles que la validation multiperspective des domaines. L'infrastructure de la CA publique est distribuée à l'échelle mondiale. Par conséquent, une autorité de certification publique nécessite un haut niveau d'accord entre des perspectives géographiquement diverses, ce qui offre une protection contre les attaques de détournement de BGP (Border Gateway Protocol) et de détournement de DNS (Domain Name Server).
Fiabilité: grâce à l'infrastructure technique éprouvée de Google, Public CA est un service disponibilité élevée et évolutif.
Ubiquité : l'ubiquité forte des navigateurs des services de confiance Google permet de s'assurer que les services utilisant des certificats émis par une autorité de certification publique fonctionnent sur la plus grande gamme d'appareils et de systèmes d'exploitation possible.
Solutions TLS simplifiées pour les configurations hybrides : les autorités de certification publiques vous permettent de créer une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Les autorités de certification publiques répondent efficacement aux cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement multi-fournisseur cloud.
Échelle : l'obtention des certificats a souvent été coûteuse, et leur provisionnement et leur maintenance difficiles. En offrant un accès à de grands volumes de certificats, les autorités de certification publiques vous permettent d'utiliser et de gérer des certificats de manière auparavant considérée comme peu pratique.
Limites de Public CA
Cette version de l'autorité de certification publique n'est pas compatible avec les domaines en punycode.