É possível usar a autoridade certificadora pública (CA, na sigla em inglês) para provisionar e implantar certificados X.509 amplamente confiáveis após validar que o solicitante do certificado controla os domínios. A AC pública permite que você solicite de forma direta e programática certificados TLS de confiança pública que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para para autenticar e criptografar o tráfego da Internet.
A AC pública permite gerenciar casos de uso de alto volume que as ACs tradicionais não conseguem atender. Se você é cliente do Google Cloud, pode solicitar certificados TLS para seus domínios diretamente da AC pública.
A maioria dos problemas relacionados a certificados ocorre devido a erro ou omissão humana. é recomendável automatizar ciclos de vida de certificados. Public CA usa Ambiente de gerenciamento automático de certificados (ACME) protocolo para o provisionamento, a renovação e a revogação automatizados certificados. O gerenciamento automatizado de certificados reduz o tempo de inatividade que expirou podem causar e minimizar os custos operacionais.
A CA pública fornece certificados TLS para vários serviços do Google Cloud, como o App Engine, o Cloud Shell, o Google Kubernetes Engine e o Balanceamento de carga do Cloud.
Quem deve usar o Public CA
É possível usar o Public CA pelos seguintes motivos:
- Se você estiver procurando um provedor de TLS com alta onipresença, escalabilidade, segurança e confiabilidade.
- Se você quiser a maioria, senão todos, os certificados TLS da sua infraestrutura, cargas de trabalho no local e configurações entre provedores de nuvem, um único provedor de nuvem.
- Se você precisa de controle e flexibilidade sobre o gerenciamento de certificados TLS para personalizá-lo de acordo com os requisitos da sua infraestrutura.
- Se você quiser automatizar o gerenciamento de certificados TLS, mas não puder usar certificados gerenciados em serviços do Google Cloud, como o GKE ou o Cloud Load Balancing.
Recomendamos que você use certificados publicamente confiáveis apenas quando seus requisitos de negócios não permitir outra opção. Dado o custo histórico e a complexidade da manutenção em hierarquias de infraestrutura de chaves (ICP), muitas empresas usam ICP pública hierarquias, mesmo quando uma hierarquia privada faz mais sentido.
Manter hierarquias públicas e privadas ficou muito mais simples com vários ofertas do Google Cloud. Recomendamos que você escolha cuidadosamente o tipo certo de PKI para seu caso de uso.
Para requisitos de certificados não públicos, o Google Cloud oferece duas soluções fáceis de gerenciar:
Anthos Service Mesh: o Cloud Service Mesh inclui provisionamento de certificado mTLS totalmente automatizado para cargas de trabalho em execução GKE Enterprise usando a autoridade de certificação do Cloud Service Mesh (autoridade de certificação do Cloud Service Mesh).
Certificate Authority Service: Com o Certificate Authority Service, é possível implantar, gerenciar e proteger CAs particulares personalizadas com eficiência, sem precisar do Google Cloud.
Benefícios do Public CA
Public CA oferece os seguintes benefícios:
Automação: como os navegadores da Internet têm como objetivo o tráfego totalmente criptografado e a redução dos períodos de validade dos certificados, há o risco de usar certificados TLS expirados. A expiração do certificado pode causar erros no site, e causar interrupções no serviço. Public CA evita a problema de expiração do certificado, permitindo que você configure seu servidor HTTPS para receber e renovar automaticamente os certificados TLS necessários da nossa ACME endpoint do Google Cloud.
Compliance: o Public CA passa por rigorosos testes de auditoria auditorias de controles de segurança, privacidade e compliance. O Webtrust selos concedidos como resultado dessas auditorias anuais demonstrar a conformidade do Public CA com todas as os padrões do setor.
Segurança: a arquitetura e as operações do Public CA são projetados para o mais alto nível de padrões de segurança e executados regularmente avaliações independentes para confirmar a segurança da infraestrutura do Google Cloud. Public CA atende ou excede de segurança, práticas operacionais e medidas de segurança mencionadas no Artigo sobre segurança do Google.
O foco do Public CA na segurança se estende a recursos como validação de domínio multiperspectiva. A infraestrutura do Public CA não é distribuídos globalmente. Portanto, Public CA exige um alto nível de acordo entre perspectivas geograficamente diversas, o que proporciona proteção contra invasão do protocolo de gateway de borda (BGP) e invasão de DNS (Domain Name Server).
Confiabilidade: o uso da infraestrutura técnica comprovada do Google facilita O Public CA é um serviço altamente disponível e escalonável.
Ubiquidade: a forte ubiquidade do navegador dos Google Trust Services garante que os serviços que usam certificados emitidos por ACs públicas funcionem na maior variedade possível de dispositivos e sistemas operacionais.
Soluções TLS simplificadas para configurações híbridas: a AC pública permite criar uma solução de certificado TLS personalizada que usa a mesma AC para diversos cenários e casos de uso. Public CA atende efetivamente os casos de uso em que cargas de trabalho são executadas no local ou entre nuvens do ambiente do provedor.
Escala: os certificados geralmente são caros de obtenção e difíceis de provisionar e manter. Ao oferecer acesso a grandes volumes de certificados, as ACs públicas permitem que você utilize e gerencie certificados de maneiras que antes eram consideradas impraticáveis.
Limitações do Public CA
Esta versão do Public CA não oferece suporte a domínios punycode.