Puoi utilizzare l'autorità di certificazione pubblica per eseguire il provisioning e il deployment di certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlli i domini. Le CA pubbliche ti consentono di richiedere in modo diretto e programmatico certificati TLS considerati attendibili pubblicamente che si trovano già nella radice degli archivi attendibili utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet.
La CA pubblica ti consente di gestire casi d'uso ad alto volume che le CA tradizionali non sono state in grado di supportare. Se sei un Google Cloud cliente, puoi richiedere i certificati TLS per i tuoi domini direttamente dall'autorità di certificazione pubblica.
La maggior parte dei problemi relativi ai certificati è dovuta a errori o negligenze umane, pertanto consigliamo di automatizzare i cicli di vita dei certificati. L'autorità di certificazione pubblica utilizza il protocollo Automatic Certificate Management Environment (ACME) per il provisioning, il rinnovo e la revoca automatici dei certificati. La gestione automatica dei certificati riduce i tempi di riposo causati dai certificati scaduti e riduce al minimo i costi operativi.
Le CA pubbliche forniscono certificati TLS per diversi Google Cloud servizi, come App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Chi deve utilizzare la CA pubblica
Puoi utilizzare la CA pubblica per i seguenti motivi:
- Se stai cercando un fornitore TLS con elevata ubiquità, scalabilità, sicurezza e affidabilità.
- Se vuoi la maggior parte, se non tutti, i certificati TLS per la tua infrastruttura, inclusi i carichi di lavoro on-premise e le configurazioni di più cloud provider, da un singolo cloud provider.
- Se hai bisogno di controllo e flessibilità per la gestione dei certificati TLS per personalizzarli in base alle esigenze della tua infrastruttura.
- Se vuoi automatizzare la gestione dei certificati TLS, ma non puoi utilizzare i certificati gestiti in Google Cloud servizi come GKE o Cloud Load Balancing.
Ti consigliamo di utilizzare i certificati attendibili pubblicamente solo quando i requisiti della tua attività non consentono un'altra opzione. Dati i costi e la complessità storici della gestione delle gerarchie PKI (Public Key Infrastructure), molte aziende utilizzano gerarchie PKI pubbliche anche quando sarebbe più opportuno utilizzare una gerarchia privata.
La gestione delle gerarchie pubbliche e private è diventata molto più semplice con più offerteGoogle Cloud . Ti consigliamo di scegliere con attenzione il tipo di PKI corretto per il tuo caso d'uso.
Per i requisiti dei certificati non pubblici, Google Cloud offre due soluzioni facili da gestire:
Anthos Service Mesh: Cloud Service Mesh include il provisioning completamente automatizzato dei certificati mTLS per i carichi di lavoro in esecuzione in GKE Enterprise utilizzando la CA Cloud Service Mesh.
Certificate Authority Service: Certificate Authority Service ti consente di eseguire il deployment, gestire e proteggere CA private personalizzate in modo efficiente senza gestire l'infrastruttura.
Vantaggi delle CA pubbliche
La CA pubblica offre i seguenti vantaggi:
Automazione: poiché i browser internet mirano a un traffico completamente criptato e alla riduzione dei periodi di validità dei certificati, esiste il rischio di utilizzare certificati TLS scaduti. La scadenza del certificato può causare errori sul sito web e interruzioni del servizio. L'autorità di certificazione pubblica evita il problema della scadenza dei certificati consentendoti di configurare il server HTTPS in modo da ottenere e rinnovare automaticamente i certificati TLS necessari dal nostro endpoint ACME.
Conformità: le CA pubbliche vengono sottoposte regolarmente a rigorosi controlli indipendenti dei controlli di sicurezza, privacy e conformità. I bollini Webtrust concessi in seguito a questi controlli annuali dimostrano la conformità della CA pubblica a tutti gli standard di settore pertinenti.
Sicurezza: l'architettura e le operazioni delle CA pubbliche sono progettate per il massimo livello di standard di sicurezza ed eseguono regolarmente valutazioni indipendenti per confermare la sicurezza dell'infrastruttura di base. La CA pubblica soddisfa o supera tutti i controlli, le pratiche operative e le misure di sicurezza menzionati nel white paper sulla sicurezza di Google.
L'attenzione alla sicurezza delle CA pubbliche si estende a funzionalità come la convalida del dominio da più punti di vista. L'infrastruttura della CA pubblica è distribuita su scala globale. Pertanto, le CA pubbliche richiedono un elevato grado di accordo tra punti di vista geograficamente diversi, che fornisce protezione contro gli attacchi di compromissione del protocollo BGP (Border Gateway Protocol) e di compromissione del server dei nomi di dominio (DNS).
Affidabilità: l'utilizzo dell'infrastruttura tecnica comprovata di Google rende la CA pubblica un servizio altamente disponibile e scalabile.
Ubiquità:la forte ubiquità nei browser di Google Trust Services contribuisce a garantire che i servizi che utilizzano i certificati emessi dalle CA pubbliche funzionino sulla gamma più ampia possibile di dispositivi e sistemi operativi.
Soluzioni TLS semplificate per configurazioni ibride: la CA pubblica consente di creare una soluzione di certificati TLS personalizzata che utilizza la stessa CA per diversi scenari e casi d'uso. La CA pubblica soddisfa efficacemente i casi d'uso in cui i carichi di lavoro vengono eseguiti on-premise o in un ambiente di provider cloud diversi.
Scalabilità: spesso i certificati sono stati costosi da ottenere e difficili da eseguire il provisioning e da gestire. Offrendo l'accesso a grandi volumi di certificati, la CA pubblica ti consente di utilizzare e gestire i certificati in modi che in precedenza erano considerati poco pratici.
Utilizzare la CA pubblica con Gestore certificati
Per utilizzare la funzionalità CA pubblica di Certificate Manager, devi conoscere i seguenti concetti:
Client ACME. Un client ACME (Automatic Certificate Management Environment) è un client di gestione dei certificati che utilizza il protocollo ACME. Il client ACME deve supportare l'associazione account esterno (EAB) per funzionare con la CA pubblica.
Associazione account esterno (EAB). Devi associare ogni account ACME che utilizzi con la CA pubblica di Certificate Manager al progetto Google Cloud di destinazione utilizzando l'associazione dell'account esterno. Per farlo, devi registrare ogni account ACME utilizzando un segreto collegato al progetto Google Cloud corrispondente. Per ulteriori informazioni, consulta la sezione Associazione di account esterni.
Sfide delle CA pubbliche
Quando utilizzi un'autorità di certificazione pubblica per richiedere un certificato, Gestione certificati ti chiede di dimostrare il tuo controllo sui domini elencati nel certificato. Puoi dimostrare il controllo del dominio risolvendo le sfide. La CA pubblica autorizza i nomi di dominio dopo che hai dimostrato di avere il controllo dei domini di destinazione.
Dopo aver ottenuto le autorizzazioni richieste, puoi richiedere certificati validi solo per un determinato periodo di tempo. Al termine di questo periodo, devi convalidare nuovamente il nome di dominio risolvendo uno dei tre tipi di verifica per continuare a richiedere certificati.
Tipi di verifica dell'accesso
La CA pubblica supporta i seguenti tipi di verifiche:
Sfida HTTP. Questa verifica prevede la creazione di un file in una posizione ben nota su un server HTTP (porta 80) da recuperare e verificare dall'Autorità di certificazione pubblica. Per ulteriori informazioni, consulta la sezione Autenticazione HTTP.
Sfida TLS-Application Layer Protocol Negotiation (ALPN). Richiede a un server di fornire un certificato specifico durante una negoziazione TLS sulla porta 443 per dimostrare il controllo su un dominio. Per ulteriori informazioni, consulta Estensione della verifica ACME TLS-ALPN.
DNS challenge. Richiede l'aggiunta di un record DNS specifico in una posizione definita per dimostrare il controllo su un dominio. Per ulteriori informazioni, vedi DNS challenge.
Se utilizzi la verifica HTTP o la verifica TLS-ALPN per convalidare un nome di dominio, il client può richiedere solo che i nomi di dominio convalidati vengano inclusi in un certificato. Se utilizzi la verifica DNS, il cliente può anche richiedere l'inclusione dei sottodomini del nome di dominio in un certificato.
Ad esempio, se convalidi *.myorg.example.com utilizzando la verifica DNS, subdomain1.myorg.example.com e subdomain2.myorg.example.com sono coperti automaticamente dal certificato jolly. Tuttavia, se convalidi myorg.example.com utilizzando una verifica HTTP o TLS-ALPN, il client può richiedere solo di includere myorg.example.com nel certificato e non puoi convalidare myorg.example.com utilizzando le verifiche non DNS.*.myorg.example.com
Logica della soluzione della verifica
La logica della verifica CA pubblica è la seguente:
- La CA pubblica fornisce un token casuale.
- Il client rende il token disponibile in una posizione ben definita. La posizione dipende dalla sfida.
- Il cliente indica all'autorità di certificazione pubblica di aver preparato la verifica.
- La CA pubblica controlla se il token presente nella posizione prevista corrisponde al valore previsto.
Il nome di dominio viene autorizzato al termine di questa procedura. Il cliente può richiedere un certificato contenente il nome di dominio. Devi risolvere solo una sfida per nome di dominio.
Limitazioni delle CA pubbliche
Questa versione della CA pubblica non supporta i domini punycode.