Puedes usar la AC de la autoridad certificadora pública para aprovisionar e implementar certificados X.509 de confianza general después de validar que el solicitante del certificado controla los dominios. La AC pública te permite solicitar de forma directa y programática certificados TLS de confianza pública que ya se encuentran en la raíz de los almacenes de confianza que usan los navegadores, los sistemas operativos y las aplicaciones principales. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet.
La AC pública te permite administrar casos de uso de gran volumen que las AC tradicionales no pudieron admitir. Si eres cliente de Google Cloud , puedes solicitar certificados TLS para tus dominios directamente desde la AC pública.
La mayoría de los problemas relacionados con los certificados se deben a errores humanos o descuidos, por lo que te recomendamos automatizar los ciclos de vida de los certificados. La AC pública usa el protocolo de entorno automático de administración de certificados (ACME) para el aprovisionamiento, la renovación y la revocación automatizados de los certificados. La administración automática de certificados reduce el tiempo de inactividad que pueden causar los certificados vencidos y minimiza los costos operativos.
Las AC públicas proporcionan certificados TLS para varios Google Cloud servicios, como App Engine, Cloud Shell, Google Kubernetes Engine y Cloud Load Balancing.
Quién debería usar la AC pública
Puedes usar la AC pública por los siguientes motivos:
- Si buscas un proveedor de TLS con alta ubiquity, escalabilidad, seguridad y confiabilidad.
- Si deseas obtener la mayoría de los certificados TLS para tu infraestructura, incluso las cargas de trabajo locales y las configuraciones de proveedores de varias nubes, desde un solo proveedor de servicios en la nube.
- Si necesitas control y flexibilidad sobre la administración de certificados TLS para personalizarlos según los requisitos de tu infraestructura.
- Si quieres automatizar la administración de certificados TLS, pero no puedes usar certificados administrados en servicios de Google Cloud , como GKE o Cloud Load Balancing.
Te recomendamos que solo uses certificados de confianza pública cuando los requisitos de tu empresa no permitan otra opción. Debido al costo y la complejidad históricos de mantener jerarquías de infraestructura de clave pública (PKI), muchas empresas usan jerarquías de PKI públicas, incluso cuando una jerarquía privada tiene más sentido.
Mantener jerarquías públicas y privadas se volvió mucho más simple con las múltiples ofertas deGoogle Cloud . Te recomendamos que elijas cuidadosamente el tipo correcto de PKI para tu caso de uso.
Para los requisitos de certificados no públicos, Google Cloud ofrece dos soluciones fáciles de administrar:
Anthos Service Mesh: Cloud Service Mesh incluye el aprovisionamiento de certificados de mTLS completamente automatizado para cargas de trabajo que se ejecutan en GKE Enterprise con la autoridad certificadora de Cloud Service Mesh.
Certificate Authority Service: Certificate Authority Service te permite implementar, administrar y proteger AC privadas personalizadas de manera eficiente sin administrar la infraestructura.
Beneficios de la AC pública
Las AC públicas proporcionan los siguientes beneficios:
Automatización: Como los navegadores de Internet buscan tráfico completamente encriptado y la reducción de los períodos de validez de los certificados, existe el riesgo de usar certificados TLS vencidos. El vencimiento de los certificados puede generar errores en el sitio web y provocar interrupciones del servicio. La AC pública evita el problema del vencimiento de los certificados, ya que te permite configurar tu servidor HTTPS para que obtenga y renueve automáticamente los certificados TLS necesarios desde nuestro extremo ACME.
Cumplimiento: Las AC públicas se someten a auditorías independientes, rigurosas y periódicas de los controles de seguridad, privacidad y cumplimiento. Los sellos de Webtrust otorgados como resultado de estas auditorías anuales demuestran el cumplimiento de la AC pública con todos los estándares de la industria relevantes.
Seguridad: La arquitectura y las operaciones de las AC públicas están diseñadas según el nivel más alto de estándares de seguridad y, con frecuencia, se ejecutan evaluaciones independientes para confirmar la seguridad de la infraestructura subyacente. Las AC públicas cumplen o superan todos los controles, las prácticas operativas y las medidas de seguridad que se mencionan en el informe de seguridad de Google.
El enfoque de las AC públicas en la seguridad se extiende a funciones como la validación de dominios de múltiples perspectivas. La infraestructura de la AC pública está distribuida a nivel mundial. Por lo tanto, la AC pública requiere un alto grado de acuerdo entre perspectivas geográficamente diversas, lo que brinda protección contra los ataques de secuestro del protocolo de puerta de enlace de frontera (BGP) y de secuestro del servidor de nombres de dominio (DNS).
Confiabilidad: El uso de la infraestructura técnica comprobada de Google hace que la AC pública sea un servicio escalable y de alta disponibilidad.
Ubicuidad: La gran ubiquidad de navegadores de los Servicios de confianza de Google ayuda a garantizar que los servicios que usan certificados que emite la AC pública funcionen en la mayor variedad posible de dispositivos y sistemas operativos.
Soluciones de TLS optimizadas para configuraciones híbridas: Las AC públicas te permiten compilar una solución de certificado TLS personalizada que use la misma AC para diversas situaciones y casos de uso. La AC pública entrega de manera eficaz los casos de uso en los que las cargas de trabajo se ejecutan de forma local o en un entorno de proveedor multinube.
Escalabilidad: A menudo, los certificados son costosos de obtener y difíciles de aprovisionar y mantener. Debido a que ofrece acceso a grandes volúmenes de certificados, la AC pública te permite usar y administrar certificados de formas que antes se consideraban poco prácticas.
Usa una AC pública con el Administrador de certificados
Para usar la función de AC pública del Administrador de certificados, debes familiarizarte con los siguientes conceptos:
Cliente de ACME. Un cliente de entorno automático de administración de certificados (ACME) es un cliente de administración de certificados que usa el protocolo ACME. Tu cliente de ACME debe admitir la vinculación de cuentas externas (EAB) para funcionar con la AC pública.
Vinculación de cuentas externas (EAB): Debes vincular cada cuenta de ACME que uses con la AC pública del Administrador de certificados al proyecto de Google Cloud de destino mediante la vinculación de cuentas externas. Para ello, debes registrar cada cuenta de ACME con un secreto vinculado a su proyecto de Google Cloud correspondiente. Para obtener más información, consulta Vinculación de cuentas externas.
Desafíos de las AC públicas
Cuando usas una AC pública para solicitar un certificado, el Administrador de certificados te solicita que demuestres tu control sobre los dominios que se indican en ese certificado. Para demostrar el control del dominio, debes resolver desafíos. La AC pública autoriza los nombres de dominio después de que demuestres tu control sobre los dominios de destino.
Después de obtener las autorizaciones necesarias, puedes solicitar certificados que solo sean válidos durante un período específico. Después de este período, debes volver a validar el nombre de dominio resolviendo uno de los tres tipos de desafíos para seguir solicitando certificados.
Tipos de verificaciones
La AC pública admite los siguientes tipos de desafíos:
Desafío HTTP: Este desafío implica crear un archivo en una ubicación conocida en un servidor HTTP (puerto 80) para que la AC pública lo recupere y verifique. Para obtener más información, consulta Desafío HTTP.
Desafío de negociación de protocolo de la capa de aplicación (ALPN) de TLS. Requiere que un servidor proporcione un certificado específico durante una negociación de TLS en el puerto 443 para demostrar el control sobre un dominio. Para obtener más información, consulta Extensión de desafío de ACME TLS-ALPN.
Desafío de DNS: Requiere agregar un registro DNS específico en una ubicación definida para demostrar el control sobre un dominio. Para obtener más información, consulta Desafío de DNS.
Si usas la prueba HTTP o la prueba TLS-ALPN para validar un nombre de dominio, el cliente solo puede solicitar que los nombres de dominio validados se incluyan en un certificado. Si usas la verificación de DNS, el cliente también puede solicitar que se incluyan subdominios de ese nombre de dominio en un certificado.
Por ejemplo, si validas *.myorg.example.com con el desafío de DNS, el certificado comodín cubre automáticamente subdomain1.myorg.example.com y subdomain2.myorg.example.com. Sin embargo, si validas myorg.example.com con un desafío HTTP o TLS-ALPN, el cliente solo puede solicitar incluir myorg.example.com en el certificado y no puedes validar *.myorg.example.com con los desafíos que no son de DNS.
Desafía la lógica de la solución
La lógica de desafío de la AC pública es la siguiente:
- La AC pública proporciona un token aleatorio.
- El cliente pone el token a disposición en una ubicación bien definida. La ubicación depende del desafío.
- El cliente le indica a la AC pública que preparó el desafío.
- La AC pública verifica si el token presente en la ubicación esperada coincide con el valor esperado.
El nombre de dominio se autoriza después de que se completa este proceso. El cliente puede solicitar un certificado con ese nombre de dominio. Solo debes resolver un desafío por nombre de dominio.
Limitaciones de las AC públicas
Esta versión de la AC pública no admite dominios Punycode.