Puoi utilizzare l'autorità di certificazione pubblica per eseguire il provisioning e il deployment di certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlli i domini. Le CA pubbliche ti consentono di richiedere in modo diretto e programmatico certificati TLS considerati attendibili pubblicamente che si trovano già nella radice degli archivi attendibili utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet.
La CA pubblica ti consente di gestire casi d'uso ad alto volume che le CA tradizionali non sono state in grado di supportare. Se sei un Google Cloud cliente, puoi richiedere i certificati TLS per i tuoi domini direttamente dall'autorità di certificazione pubblica.
La maggior parte dei problemi relativi ai certificati è dovuta a errori o negligenze umane, pertanto consigliamo di automatizzare i cicli di vita dei certificati. L'autorità di certificazione pubblica utilizza il protocollo Automatic Certificate Management Environment (ACME) per il provisioning, il rinnovo e la revoca automatici dei certificati. La gestione automatica dei certificati riduce il tempo di riposo causato dai certificati scaduti e riduce al minimo i costi operativi.
Le CA pubbliche forniscono certificati TLS per diversi Google Cloud servizi, come App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Chi deve utilizzare la CA pubblica
Puoi utilizzare la CA pubblica per i seguenti motivi:
- Se stai cercando un fornitore TLS con elevata ubiquità, scalabilità, sicurezza e affidabilità.
- Se vuoi la maggior parte, se non tutti, i certificati TLS per la tua infrastruttura, inclusi i carichi di lavoro on-premise e le configurazioni di più cloud provider, da un singolo cloud provider.
- Se hai bisogno di controllo e flessibilità per la gestione dei certificati TLS per personalizzarli in base alle esigenze della tua infrastruttura.
- Se vuoi automatizzare la gestione dei certificati TLS, ma non puoi utilizzare i certificati gestiti in Google Cloud servizi come GKE o Cloud Load Balancing.
Ti consigliamo di utilizzare i certificati attendibili pubblicamente solo quando i requisiti della tua attività non consentono un'altra opzione. Dati i costi e la complessità storici della gestione delle gerarchie PKI (Public Key Infrastructure), molte aziende utilizzano gerarchie PKI pubbliche anche quando sarebbe più opportuno utilizzare una gerarchia privata.
La gestione delle gerarchie pubbliche e private è diventata molto più semplice con più offerteGoogle Cloud . Ti consigliamo di scegliere con attenzione il tipo di PKI corretto per il tuo caso d'uso.
Per i requisiti dei certificati non pubblici, Google Cloud offre due soluzioni facili da gestire:
Anthos Service Mesh: Cloud Service Mesh include il provisioning completamente automatizzato dei certificati mTLS per i carichi di lavoro in esecuzione in GKE Enterprise utilizzando la CA Cloud Service Mesh.
Certificate Authority Service: Certificate Authority Service ti consente di eseguire il deployment, gestire e proteggere CA private personalizzate in modo efficiente senza gestire l'infrastruttura.
Vantaggi delle CA pubbliche
La CA pubblica offre i seguenti vantaggi:
Automazione: poiché i browser internet mirano a un traffico completamente criptato e alla riduzione dei periodi di validità dei certificati, esiste il rischio di utilizzare certificati TLS scaduti. La scadenza del certificato può causare errori sul sito web e interruzioni del servizio. L'autorità di certificazione pubblica evita il problema della scadenza dei certificati consentendoti di configurare il server HTTPS in modo da ottenere e rinnovare automaticamente i certificati TLS necessari dal nostro endpoint ACME.
Conformità: le CA pubbliche vengono sottoposte regolarmente a rigorosi controlli indipendenti dei controlli di sicurezza, privacy e conformità. I bollini Webtrust concessi in seguito a questi controlli annuali dimostrano la conformità della CA pubblica a tutti gli standard di settore pertinenti.
Sicurezza: l'architettura e le operazioni delle CA pubbliche sono progettate per il massimo livello di standard di sicurezza ed eseguono regolarmente valutazioni indipendenti per confermare la sicurezza dell'infrastruttura di base. La CA pubblica soddisfa o supera tutti i controlli, le pratiche operative e le misure di sicurezza indicate nel white paper sulla sicurezza di Google.
L'attenzione alla sicurezza delle CA pubbliche si estende a funzionalità come la convalida del dominio da più punti di vista. L'infrastruttura della CA pubblica è distribuita su scala globale. Pertanto, le CA pubbliche richiedono un elevato grado di accordo tra punti di vista geograficamente diversi, che fornisce protezione contro gli attacchi di compromissione del protocollo BGP (Border Gateway Protocol) e di compromissione del server dei nomi di dominio (DNS).
Affidabilità: l'utilizzo dell'infrastruttura tecnica comprovata di Google rende la CA pubblica un servizio altamente disponibile e scalabile.
Ubiquità:la forte ubiquità nei browser di Google Trust Services contribuisce a garantire che i servizi che utilizzano i certificati emessi dalle CA pubbliche funzionino sulla gamma più ampia possibile di dispositivi e sistemi operativi.
Soluzioni TLS semplificate per configurazioni ibride: la CA pubblica consente di creare una soluzione di certificati TLS personalizzata che utilizza la stessa CA per diversi scenari e casi d'uso. La CA pubblica serve efficacemente per i casi d'uso in cui i carichi di lavoro vengono eseguiti on-premise o in un ambiente di provider cloud diversi.
Scalabilità: spesso i certificati sono stati costosi da ottenere e difficili da eseguire il provisioning e da gestire. Offrendo l'accesso a grandi volumi di certificati, la CA pubblica ti consente di utilizzare e gestire i certificati in modi che in precedenza erano considerati poco pratici.
Limitazioni delle CA pubbliche
Questa versione della CA pubblica non supporta i domini punycode.