Puoi utilizzare la CA dell'autorità di certificazione pubblica per eseguire il provisioning e il deployment di certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlla i domini. La Public CA consente di richiedere direttamente e in modo programmatico certificati TLS attendibili pubblicamente che si trovano già nella radice degli archivi di attendibilità utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet.
La Public CA consente di gestire casi d'uso con volumi elevati che le CA tradizionali non sono stati in grado di supportare. Se sei un cliente Google Cloud, puoi richiedere certificati TLS per i tuoi domini direttamente dalla CA pubblica.
La maggior parte dei problemi relativi ai certificati è dovuta a errori umani o a supervisione, perciò ti consigliamo di automatizzare i cicli di vita dei certificati. La Public CA utilizza il protocollo ACME (Automatic Certificate Management Environment) per eseguire il provisioning, il rinnovo e la revoca automatici dei certificati. La gestione automatizzata dei certificati riduce i tempi di inattività causati dai certificati scaduti e riduce al minimo i costi operativi.
La Public CA esegue il provisioning dei certificati TLS per diversi servizi Google Cloud, come App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Chi deve utilizzare la Public CA
Puoi utilizzare la Public CA per i seguenti motivi:
- Se stai cercando un provider TLS con elevata ubiquità, scalabilità, sicurezza e affidabilità.
- Se vuoi la maggior parte, se non tutti, i certificati TLS per la tua infrastruttura, compresi carichi di lavoro on-premise e configurazioni di provider cross-cloud, da un unico cloud provider.
- Se hai bisogno di controllo e flessibilità sulla gestione dei certificati TLS per personalizzarla in base alle esigenze della tua infrastruttura.
- Se vuoi automatizzare la gestione dei certificati TLS, ma non puoi utilizzare i certificati gestiti nei servizi Google Cloud, ad esempio GKE o Cloud Load Balancing.
Ti consigliamo di utilizzare i certificati pubblicamente attendibili solo quando i tuoi requisiti aziendali non consentono un'altra opzione. Dati i costi storici e la complessità associati al mantenimento delle gerarchie di infrastrutture a chiave pubblica (PKI), molte aziende utilizzano le gerarchie di un'infrastruttura a chiave pubblica pubblica anche quando è più sensata una gerarchia privata.
Il mantenimento delle gerarchie pubbliche e private è diventato molto più semplice con l'introduzione di più offerte Google Cloud. Ti consigliamo di scegliere con attenzione il tipo di PKI appropriato per il tuo caso d'uso.
Per i requisiti dei certificati non pubblici, Google Cloud offre due soluzioni facili da gestire:
Anthos Service Mesh: Anthos Service Mesh include il provisioning dei certificati mTLS completamente automatizzato per i carichi di lavoro in esecuzione in GKE Enterprise utilizzando l'autorità di certificazione Anthos Service Mesh (Mesh CA).
Certificate Authority Service: Certificate Authority Service consente di eseguire il deployment, gestire e proteggere le CA private personalizzate in modo efficiente senza gestire l'infrastruttura.
Vantaggi della Public CA
La Public CA offre i seguenti vantaggi:
Automazione: poiché i browser internet mirano a garantire il traffico completamente criptato e la riduzione dei periodi di validità dei certificati, esiste il rischio di utilizzare certificati TLS scaduti. La scadenza del certificato può causare errori del sito web e interruzioni del servizio. La Public CA evita il problema della scadenza dei certificati consentendo di configurare il server HTTPS per ottenere e rinnovare automaticamente i certificati TLS necessari dal nostro endpoint ACME.
Conformità: la Public CA viene sottoposta a regolari e rigorosi controlli indipendenti dei controlli di sicurezza, privacy e conformità. I sigilli Webtrust concessi a seguito di questi controlli annuali dimostrano la conformità della Public CA a tutti gli standard di settore pertinenti.
Sicurezza: l'architettura e le operazioni della Public CA sono progettate secondo i massimi standard di sicurezza ed eseguono regolarmente valutazioni indipendenti per confermare la sicurezza dell'infrastruttura sottostante. La Public CA soddisfa o supera tutti i controlli, le pratiche operative e le misure di sicurezza menzionati nel white paper sulla sicurezza di Google.
L'attenzione alla sicurezza della Public CA si estende a funzionalità come la convalida di domini da più prospettive. L'infrastruttura della Public CA è distribuita a livello globale. Pertanto, la Public CA richiede un elevato grado di accordo tra punti di vista geograficamente diversificati, il che garantisce protezione contro gli attacchi di compromissione del protocollo BGP (Border Gateway Protocol) e compromissione del DNS (Domain Name Server).
Affidabilità: l'uso della comprovata infrastruttura tecnica di Google rende Public CA un servizio scalabile e a disponibilità elevata.
Ubiquità: la forte ubiquità dei browser di Google Trust Services garantisce che i servizi che utilizzano certificati emessi dalla Public CA funzionino sulla più ampia gamma possibile di dispositivi e sistemi operativi.
Soluzioni TLS semplificate per le configurazioni ibride: la Public CA consente di creare una soluzione di certificato TLS personalizzata che utilizza la stessa CA per scenari e casi d'uso diversi. La Public CA è in grado di gestire in modo efficace i casi d'uso in cui i carichi di lavoro vengono eseguiti on-premise o in un ambiente cross-cloud provider.
Scalabilità: i certificati sono spesso costosi da ottenere e difficili da eseguire il provisioning e la manutenzione. Offrendo l'accesso a grandi volumi di certificati, la Public CA consente di utilizzare e gestire i certificati in modi che in precedenza erano considerati inattuabili.
Limitazioni della Public CA
Questa release di Public CA non supporta i domini punycode.