É possível usar a autoridade certificadora pública (AC) para provisionar e implantar certificados X.509 de confiança geral depois de validar que o solicitante do certificado controla os domínios. Public CA permite que você, de forma direta e programática, solicitar certificados TLS publicamente confiáveis que já estão na raiz dos repositórios de confiança usados por navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet.
Public CA permite gerenciar casos de uso de alto volume As ACs não têm suporte para isso. Se você for cliente do Google Cloud, poderá solicitar certificados TLS para seus domínios diretamente da AC pública.
A maioria dos problemas relacionados a certificados ocorre devido a erro ou omissão humana. é recomendável automatizar ciclos de vida de certificados. A AC pública usa o protocolo Ambiente de gerenciamento automático de certificados (ACME) para provisionamento, renovação e revogação automatizados de certificados. O gerenciamento automatizado de certificados reduz o tempo de inatividade que os certificados expirados podem causar e minimiza os custos operacionais.
A CA pública provisiona certificados TLS para vários serviços do Google Cloud, como o App Engine, o Cloud Shell, o Google Kubernetes Engine e o Balanceamento de carga do Cloud.
Quem deve usar o Public CA
É possível usar o Public CA pelos seguintes motivos:
- Se você está procurando um provedor de TLS com alta ubiquidade, escalabilidade, segurança e confiabilidade.
- Se você quiser a maioria ou todos os certificados TLS para sua infraestrutura, incluindo cargas de trabalho locais e configurações de provedores de nuvem, de um único provedor de nuvem.
- Se você precisar de controle e flexibilidade com relação ao gerenciamento de certificados TLS para e personalize-o de acordo com seus requisitos de infraestrutura.
- Se você quiser automatizar o gerenciamento de certificados TLS, mas não puder usar certificados gerenciados nos serviços do Google Cloud, como o GKE ou o Cloud Load Balancing.
Recomendamos que você use certificados publicamente confiáveis apenas quando seus requisitos de negócios não permitir outra opção. Devido ao custo histórico e à complexidade de manter hierarquias de infraestrutura de chave pública (PKI), muitas empresas usam hierarquias de PKI públicas, mesmo quando uma hierarquia privada faz mais sentido.
Manter hierarquias públicas e privadas ficou muito mais simples com vários ofertas do Google Cloud. Recomendamos que você escolha cuidadosamente o tipo certo de PKI para seu caso de uso.
Para requisitos de certificados não públicos, o Google Cloud oferece duas soluções fáceis de gerenciar:
Anthos Service Mesh: o Cloud Service Mesh inclui o provisionamento de certificados mTLS totalmente automatizado para cargas de trabalho executadas no GKE Enterprise usando a autoridade de certificação do Cloud Service Mesh.
Serviço de autoridade de certificação: o Serviço de autoridade de certificação permite implantar, gerenciar e proteger ACs privadas personalizadas de maneira eficiente sem gerenciar a infraestrutura.
Benefícios da AC pública
Public CA oferece os seguintes benefícios:
Automação: como os navegadores da Internet têm como objetivo o tráfego totalmente criptografado e a redução dos períodos de validade dos certificados, há o risco de usar certificados TLS expirados. A expiração do certificado pode causar erros no site, e causar interrupções no serviço. Public CA evita a problema de expiração do certificado, permitindo que você configure seu servidor HTTPS para receber e renovar automaticamente os certificados TLS necessários da nossa ACME endpoint do Google Cloud.
Compliance: as ACs públicas passam por auditorias independentes rigorosas e regulares de controles de segurança, privacidade e compliance. Os selos do Webtrust concedidos como resultado dessas auditorias anuais demonstram a conformidade da AC pública com todos os padrões relevantes do setor.
Segurança: a arquitetura e as operações do Public CA são projetados para o mais alto nível de padrões de segurança e executados regularmente avaliações independentes para confirmar a segurança da infraestrutura do Google Cloud. Public CA atende ou excede de segurança, práticas operacionais e medidas de segurança mencionadas no Artigo sobre segurança do Google.
O foco da AC pública na segurança se estende a recursos como a validação de domínio com várias perspectivas. A infraestrutura do Public CA não é distribuídos globalmente. Portanto, a AC pública exige um alto grau de concordância em perspectivas geograficamente diversas, o que oferece proteção contra ataques de sequestro do protocolo de gateway de borda (BGP) e de sequestro do servidor de nomes de domínio (DNS).
Confiabilidade: o uso da infraestrutura técnica comprovada do Google torna a AC pública um serviço altamente disponível e escalonável.
Ubiquite:a forte onipresença do Google Trust em navegadores Serviços ajuda a garantir que os serviços que usam certificados que o Public CA emite para funcionar da maneira mais ampla possível diversos dispositivos e sistemas operacionais.
Soluções TLS simplificadas para configurações híbridas: a Public CA permite você cria uma solução de certificado TLS personalizada que usa a mesma AC para diversos cenários e casos de uso. Public CA atende efetivamente casos de uso em que cargas de trabalho são executadas no local ou em uma nuvem do ambiente do provedor.
Escalabilidade: os certificados costumam ser caros e difíceis de provisionar e manter. Ao oferecer acesso a grandes volumes de certificados, Public CA permite utilizar e gerenciar certificados de maneiras que antes eram consideradas impraticáveis.
Limitações do Public CA
Esta versão da CA pública não oferece suporte a domínios punycode.