A Media CDN tem suporte de primeira classe para exibir tráfego criptografado por TLS (HTTPS) do seu próprio nome de domínio, além de suporte a solicitações assinadas. O Media CDN é veiculado no seu próprio domínio (BYO ou BYO) e não precisa ser veiculado em um domínio hospedado pelo Google.
- Não há cobranças adicionais associadas ao fornecimento de tráfego SSL (TLS) ou à obtenção de certificados gerenciados pelo Google: proteger o tráfego do usuário final não deve ser um custo extra.
- A CDN de mídia oferece suporte a certificados gerenciados pelo Google, permitindo que o Google gerencie a rotação, as chaves e a distribuição segura para milhares de nós de borda, bem como certificados autogerenciados (enviados por upload).
- Cada serviço pode oferecer suporte a até cinco certificados SSL.
- Cada certificado gerenciado pode ter até 100 nomes (nomes alternativos do assunto).
Recomendamos que você ofereça o serviço de cache do Edge com nomes de host dedicados (subdomínios) e use certificados gerenciados separados para seus domínios de mídia como uma boa prática de segurança.
Criar e emitir certificados
Para validar, emitir e anexar um certificado SSL (TLS) gerenciado a um serviço do Media CDN, consulte Como configurar certificados SSL.
Tipos de certificado
A CDN para mídias oferece suporte a dois tipos de certificados:
- Certificados gerenciados, que o Google pode provisionar em seu nome para nomes de domínio que você possui. Você não precisa de chaves seguras, e os certificados são renovados automaticamente.
- Certificados autogerenciados, que você faz upload diretamente para o Gerenciador de certificados. Você é responsável por fazer upload de um certificado válido e de confiança pública, bem como substituí-lo antes do vencimento.
Como os certificados gerenciados podem ser autorizados e emitidos antes de direcionar o tráfego para a Media CDN, é possível provisionar certificados antes de interromper o tráfego de produção e evitar o tempo de inatividade.
Em alguns casos, como quando você precisa de fixação de chaves em aplicativos para dispositivos móveis ou suporte a dispositivos legados com repositórios de confiança desatualizados, pode ser necessário usar certificados autogerenciados. Também é possível usar certificados gerenciados e autogerenciados no mesmo serviço se você tiver nomes de domínio específicos (hosts) que exigem certificados autogerenciados.
Autorização da emissão de certificados
Com a autorização de DNS, você pode verificar a propriedade do domínio e provisionar certificados gerenciados pelo Google antes mesmo de configurar totalmente o ambiente de produção. Isso é útil principalmente quando você está migrando certificados para o Google Cloud.
O Gerenciador de certificados verifica a propriedade do domínio por meio de registros DNS. Cada autorização de DNS armazena informações sobre o registro DNS e abrange um único domínio e o curinga dele (por exemplo, myorg.example.com e *.myorg.example.com).
Ao criar um certificado gerenciado pelo Google, você pode usar uma ou mais autorizações de DNS para provisionamento e renovação de certificados. Se você tiver vários certificados para um único domínio, poderá usar a mesma autorização DNS para todos eles. No entanto, suas autorizações de DNS precisam abranger todos os domínios listados no certificado. Caso contrário, a criação e a renovação de certificados vão falhar.
Para configurar a autorização DNS, adicione um registro CNAME à configuração de DNS. Esse registro é usado para validar o subdomínio no seu domínio de destino. O registro CNAME aponta para um domínio especial do Google Cloud que o Gerenciador de certificados usa para verificar a propriedade do domínio. Quando você cria uma autorização de DNS, o Certificate Manager retorna esse registro CNAME e verifica sua propriedade.
O registro CNAME também concede ao Certificate Manager a permissão para provisionar e renovar certificados do domínio de destino no seu projeto do Google Cloud. Para revogar essas permissões, remova o registro CNAME da configuração de DNS.
Autorização de DNS por projeto
A autorização de DNS por projeto permite gerenciar certificados de forma independente em cada projeto do Google Cloud. Com a autorização de DNS por projeto, o Certificate Manager pode emitir e processar certificados para cada projeto separadamente. As autorizações e os certificados de DNS usados em um projeto são independentes e não interagem com artefatos de outros projetos.
Para ativar a autorização de DNS por projeto, escolha a opção PER_PROJECT_RECORD ao criar uma autorização de DNS. Você vai receber um registro CNAME exclusivo que inclui um subdomínio e um destino específico para esse projeto. Esse registro CNAME precisa ser adicionado à zona DNS do domínio relevante.
Vários domínios por certificado
Os certificados emitidos pelo Gerenciador de certificados permitem especificar vários nomes de domínio (nomes de host) no mesmo certificado como Nomes alternativos do assunto.
É possível adicionar vários domínios a um certificado especificando uma lista de domínios ao criar um certificado, bem como todas as autorizações correspondentes necessárias.
Cada autorização abrange apenas o domínio exato (por exemplo,
video.example.com) e o caractere curinga (*.example.com). Ela não abrange subdomínios
exatos. Se você quiser um certificado para eu.video.example.com, por
exemplo, é necessário configurar outra autorização de DNS para o
domínio eu.video.example.com.
Os exemplos a seguir mostram como anexar uma autorização para
video.example.com e eu.video.example.com:
gcloud
Use o comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Isso cria um certificado com a autorização DNS no estado AUTHORIZING
e o certificado no estado PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Os domínios não podem compartilhar uma autorização de DNS. É necessário especificar vários domínios e autorizações. O Gerenciador de certificados determina quais domínios exigem quais autorizações.
Para saber como os certificados são emitidos e ativados, consulte Configurar certificados SSL (TLS).
Renovação de certificados
Os certificados gerenciados são renovados automaticamente pelo Gerenciador de certificados. Os certificados renovados são enviados automaticamente para a borda global do Google para cada serviço ativo que você configurou.
- Os certificados
EDGE_CACHEtêm um período de validade curto (30 dias) para melhorar a segurança e o compliance, em comparação com o padrão atual do setor de 90 dias (com um intervalo de renovação de 60 dias). - A renovação do certificado geralmente é iniciada quando ele está a 10 dias de expirar.
- Não é necessário fazer nada quando um certificado é renovado. O novo certificado substitui automaticamente o certificado atual antes da data de validade, sem impacto no tráfego em tempo real.
Como o pipeline de emissão revalida o controle de domínio antes da renovação, não exclua os registros DNS configurados para autorização do DNS. A exclusão do registro usado para demonstrar a DCV (Validação de Controle de Domínio) resulta na incapacidade de renovar seus certificados e impede que os clientes se conectem por HTTPS (TLS) quando o certificado expira.
Registros e raízes de CAA
Para verificar a compatibilidade com dispositivos clientes, incluindo smart TVs mais antigas, smartphones e caixas de streaming, acesse o conjunto completo de ACs raiz usadas pelo Google em pki.goog.
Para permitir que o Certificate Manager e o Media CDN
emitam certificados para um domínio com registros CAA, adicione o registro CAA
pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Os domínios que não têm registros CAA não precisam adicionar esse registro, mas recomendamos que você faça isso como uma prática recomendada.
Leia mais sobre os registros CAA.
Limites de certificado
Você pode emitir até 1.000 certificados gerenciados e 1.000 autorizações de DNS por projeto. Para outros limites e cotas relacionados, consulte a documentação sobre cotas e limites .
Versões do TLS com suporte
A Media CDN oferece suporte às seguintes versões do TLS:
| Versão do TLS | Compatível | Cifrões incluídos |
|---|---|---|
| SSL 3.0 | Não | N/A (incompatível) |
| TLS 1.0 | Não | N/A (incompatível) |
| TLS 1.1 | Não | N/A (incompatível) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Além disso:
- Dispositivos que não oferecem suporte a versões modernas do TLS (como TLS 1.3) negociam automaticamente uma versão TLS com suporte.
- O TLS 1.2 é a versão mínima de TLS com suporte para o Media CDN.
- A Media CDN não oferece suporte à vinculação de políticas SSL a um serviço.
Resolver problemas de emissão de certificados
Se você encontrar erros na emissão de certificados, consulte como resolver problemas de emissão de certificados.
A seguir
- Leia Configurar certificados SSL.
- Entenda a conexão do cliente e o suporte a protocolos.
- Confira como as conexões SSL (TLS) são feitas para suas origens.