Anda dapat menggunakan Public Certificate Authority CA untuk menyediakan dan men-deploy sertifikat X.509 tepercaya secara luas setelah memvalidasi bahwa pemohon sertifikat mengontrol domain. CA Publik memungkinkan Anda secara langsung dan terprogram meminta sertifikat TLS tepercaya publik yang sudah ada di root trust store yang digunakan oleh browser utama, sistem operasi, dan aplikasi. Anda dapat menggunakan sertifikat TLS ini untuk mengautentikasi dan mengenkripsi traffic internet.
CA Publik memungkinkan Anda mengelola kasus penggunaan bervolume tinggi yang tidak dapat didukung oleh CA tradisional. Jika Anda adalah pelanggan Google Cloud, Anda dapat meminta sertifikat TLS untuk domain Anda langsung dari CA Publik.
Sebagian besar masalah terkait sertifikat disebabkan oleh kesalahan atau kelalaian manusia, jadi sebaiknya Anda mengotomatiskan siklus proses sertifikat. Public CA menggunakan protokol Automatic Certificate Management Environment (ACME) untuk penyediaan, perpanjangan, dan pencabutan sertifikat otomatis. Pengelolaan sertifikat otomatis mengurangi periode nonaktif saat sertifikat yang kedaluwarsa dapat menyebabkan dan meminimalkan biaya operasional.
CA publik menyediakan sertifikat TLS untuk beberapa layanan Google Cloud, seperti App Engine, Cloud Shell, Google Kubernetes Engine, dan Cloud Load Balancing.
Siapa yang harus menggunakan CA Publik
Anda dapat menggunakan Public CA karena alasan berikut:
- Jika Anda mencari penyedia TLS dengan kemudahan, skalabilitas, keamanan, dan keandalan yang tinggi.
- Jika Anda menginginkan sebagian besar, atau tidak semua, sertifikat TLS untuk infrastruktur Anda, termasuk workload lokal dan penyiapan penyedia lintas-cloud, dari satu penyedia cloud.
- Apakah Anda memerlukan kontrol dan fleksibilitas atas pengelolaan sertifikat TLS untuk menyesuaikannya dengan persyaratan infrastruktur Anda.
- Jika Anda ingin mengotomatiskan pengelolaan sertifikat TLS, tetapi tidak dapat menggunakan sertifikat terkelola di layanan Google Cloud, seperti GKE atau Cloud Load Balancing.
Sebaiknya hanya gunakan sertifikat tepercaya publik jika persyaratan bisnis Anda tidak mengizinkan opsi lain. Mengingat biaya historis dan kompleksitas pengelolaan hierarki infrastruktur kunci publik (IKP), banyak perusahaan menggunakan hierarki IKP publik bahkan saat hierarki pribadi sudah lebih logis.
Mempertahankan hierarki publik dan pribadi menjadi jauh lebih mudah dengan beberapa penawaran Google Cloud. Sebaiknya pilih dengan cermat jenis IKP yang tepat untuk kasus penggunaan Anda.
Untuk persyaratan sertifikat non-publik, Google Cloud menawarkan dua solusi yang mudah dikelola:
Anthos Service Mesh: Anthos Service Mesh mencakup penyediaan sertifikat mTLS yang sepenuhnya otomatis untuk workload yang berjalan di GKE Enterprise menggunakan certificate authority Anthos Service Mesh (Mesh CA).
Certificate Authority Service: Certificate Authority Service memungkinkan Anda men-deploy, mengelola, dan mengamankan CA pribadi kustom secara efisien tanpa mengelola infrastruktur.
Manfaat CA Publik
CA Publik memberikan manfaat berikut:
Otomatisasi: Karena browser internet bertujuan untuk traffic yang dienkripsi sepenuhnya dan pengurangan periode validitas sertifikat, ada risiko penggunaan sertifikat TLS yang telah habis masa berlakunya. Akhir masa berlaku sertifikat dapat menyebabkan error situs, dan dapat menyebabkan pemadaman layanan. CA Publik menghindari masalah masa berlaku sertifikat dengan memungkinkan Anda menyiapkan server HTTPS untuk otomatis memperoleh dan memperpanjang sertifikat TLS yang diperlukan dari endpoint ACME kami.
Kepatuhan: CA Publik menjalani audit independen yang ketat secara berkala terhadap keamanan, privasi, dan kontrol kepatuhan. Segel Webtrust yang diberikan sebagai hasil dari audit tahunan ini menunjukkan kesesuaian Public CA dengan semua standar industri yang relevan.
Keamanan: Arsitektur dan operasi CA Publik dirancang dengan standar keamanan tingkat tertinggi dan secara rutin menjalankan penilaian independen untuk mengonfirmasi keamanan infrastruktur dasar. CA Publik memenuhi atau melampaui semua kontrol, praktik operasional, dan langkah keamanan yang disebutkan dalam laporan resmi Keamanan Google.
Fokus CA Publik pada keamanan meluas ke fitur seperti validasi domain multi-perspektif. Infrastruktur CA Publik tersebar secara global. Oleh karena itu, CA Publik memerlukan tingkat persetujuan yang tinggi terkait perspektif yang beragam secara geografis, yang memberikan perlindungan terhadap serangan pembajakan Border Gateway Protocol (BGP) dan pembajakan Domain Name Server (DNS).
Keandalan: Penggunaan infrastruktur teknis Google yang telah terbukti menjadikan CA Publik menjadi layanan dengan ketersediaan tinggi dan skalabel.
Kebiasaan: Layanan Kepercayaan Google yang kuat di mana-mana di browser memastikan bahwa layanan yang menggunakan sertifikat yang diterbitkan CA Publik akan berfungsi pada berbagai perangkat dan sistem operasi.
Solusi TLS yang sederhana untuk penyiapan campuran: CA Publik memungkinkan Anda membuat solusi sertifikat TLS kustom yang menggunakan CA yang sama untuk beragam skenario dan kasus penggunaan. CA Publik secara efektif melayani kasus penggunaan saat beban kerja berjalan di infrastruktur lokal atau di lingkungan penyedia lintas cloud.
Skala: Sertifikat sering kali mahal untuk diperoleh dan sulit disediakan serta dikelola. Dengan menawarkan akses ke sertifikat dalam jumlah besar, CA Publik memungkinkan Anda menggunakan dan mengelola sertifikat dengan cara yang sebelumnya dianggap tidak praktis.
Batasan CA Publik
Rilis CA Publik ini tidak mendukung domain punycode.