Certificati SSL (TLS)

Media CDN offre un'assistenza di prima classe per la pubblicazione di traffico criptato con TLS (HTTPS) dal tuo nome di dominio, nonché il supporto per le richieste firmate. Media CDN viene pubblicato dal tuo dominio (Bring Your Own o dominio BYO) e non deve essere pubblicato da un dominio ospitato da Google.

  • Non sono previsti costi aggiuntivi associati alla pubblicazione di traffico SSL (TLS) o all'ottenimento di certificati gestiti da Google: la protezione del traffico degli utenti finali non deve essere a pagamento.
  • Media CDN supporta sia i certificati gestiti da Google, che consentono a Google di gestire la rotazione, le chiavi e la distribuzione sicura a migliaia di nodi edge, sia i certificati autogestiti (caricati).
  • Ogni servizio può supportare fino a 5 certificati SSL.
  • Ogni certificato gestito può avere fino a 100 nomi (Nomi alternativi dell'oggetto).

Come buona prassi di sicurezza, ti consigliamo di pubblicare il servizio Edge Cache da hostname (sottodomini) dedicati e di utilizzare certificati gestiti separati per i tuoi domini multimediali.

Creare ed emettere certificati

Per convalidare, emettere e allegare un certificato SSL (TLS) gestito a un servizio Media CDN, consulta la sezione Configurazione dei certificati SSL.

Tipi di certificati

Media CDN supporta due tipi di certificati:

  • Certificati gestiti, che Google può eseguire per tuo conto per i nomi di dominio di tua proprietà. Non sono necessarie chiavi sicure e i certificati vengono rinnovati automaticamente.
  • Certificati autogestiti, che carichi direttamente in Gestore certificati. È tua responsabilità caricare un certificato valido e attendibile pubblicamente, nonché sostituirlo prima della scadenza.

Poiché i certificati gestiti possono essere autorizzati ed emessi prima di indirizzare il traffico su Media CDN, puoi eseguire il provisioning dei certificati prima di eseguire il passaggio al traffico di produzione ed evitare i tempi di riposo.

In alcuni casi, ad esempio se hai bisogno del pinning delle chiavi nelle applicazioni mobile o del supporto per i dispositivi legacy con magazzini attendibili obsoleti, potresti dover utilizzare i certificati gestiti autonomamente. Puoi anche utilizzare certificati gestiti e con gestione indipendente nello stesso servizio se hai nomi di dominio (host) specifici che richiedono certificati con gestione indipendente.

Autorizzazione dell'emissione di certificati

L'autorizzazione DNS ti consente di verificare la proprietà del dominio e di eseguire il provisioning dei certificati gestiti da Google anche prima che l'ambiente di produzione sia completamente configurato. Questa opzione è particolarmente utile quando esegui la migrazione dei certificati a Google Cloud.

Certificate Manager verifica la proprietà del dominio tramite i record DNS. Ogni autorizzazione DNS memorizza informazioni sul record DNS e copre un singolo dominio e il relativo jolly (ad esempio, sia myorg.example.com che *.myorg.example.com).

Quando crei un certificato gestito da Google, puoi utilizzare una o più autorizzazioni DNS per il provisioning e il rinnovo dei certificati. Se hai più certificati per un singolo dominio, puoi utilizzare la stessa autorizzazione DNS per tutti. Tuttavia, le autorizzazioni DNS devono coprire tutti i domini elencati nel certificato. In caso contrario, la creazione e il rinnovo dei certificati non andranno a buon fine.

Per configurare l'autorizzazione DNS, devi aggiungere un record CNAME alla configurazione DNS. Questo record viene utilizzato per convalidare il sottodominio nel dominio di destinazione. Il record CNAME rimanda a un dominio Google Cloud speciale utilizzato da Certificate Manager per verificare la proprietà del tuo dominio. Quando crei un'autorizzazione DNS, Certificate Manager restituisce questo record CNAME e verifica la tua proprietà.

Ricorda che il record CNAME concede inoltre a Certificate Manager l'autorizzazione per eseguire il provisioning e il rinnovo dei certificati per il dominio di destinazione all'interno del tuo progetto Google Cloud. Per revocare queste autorizzazioni, rimuovi il record CNAME dalla configurazione DNS.

Autorizzazione DNS per progetto

L'autorizzazione DNS per progetto ti consente di gestire i certificati in modo indipendente all'interno di ogni progetto Google Cloud. Utilizzando l'autorizzazione DNS per progetto, Certificate Manager può emettere e gestire i certificati per ogni progetto separatamente. Le autorizzazioni e i certificati DNS utilizzati all'interno di un progetto sono autocontenuti e non interagiscono con gli elementi di altri progetti.

Per attivare l'autorizzazione DNS per progetto, scegli l'opzione PER_PROJECT_RECORD quando crei un'autorizzazione DNS. Riceverai un record CNAME univoco che include sia un sottodominio sia un target specifico per il progetto. Questo record CNAME deve essere aggiunto alla zona DNS del dominio pertinente.

Più domini per certificato

I certificati emessi da Certificate Manager ti consentono di specificare più nomi di dominio (nomi host) nello stesso certificato come Nomi alternativi dell'oggetto.

Puoi aggiungere più domini a un certificato specificando un elenco di domini durante la creazione di un certificato, nonché le eventuali autorizzazioni corrispondenti richieste.

Ogni autorizzazione copre solo il dominio esatto (ad esempio video.example.com) e il carattere jolly (*.example.com). Non copre i sottodomini espliciti. Ad esempio, se vuoi un certificato per eu.video.example.com, devi configurare un'altra autorizzazione DNS per il dominio eu.video.example.com.

Gli esempi seguenti mostrano come allegare un'autorizzazione per video.example.com e eu.video.example.com:

gcloud

Utilizza il comando gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

Viene creato un certificato con l'autorizzazione DNS nello statoAUTHORIZING e il certificato nello stato PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

I domini non possono condividere un'autorizzazione DNS. Devi specificare più domini e autorizzazioni. Certificate Manager determina quali domini richiedono quali autorizzazioni.

Per scoprire come vengono emessi e attivati i certificati, consulta Configurare i certificati SSL (TLS).

Rinnovo del certificato

I certificati gestiti vengono rinnovati automaticamente da Gestore certificati. I certificati rinnovati vengono inviati automaticamente all'edge globale di Google per ogni servizio attivo che hai configurato.

  • I certificati EDGE_CACHE hanno un periodo di validità breve (30 giorni) per migliorare la sicurezza e la conformità, rispetto allo standard di settore attuale di 90 giorni (con un intervallo di rinnovo di 60 giorni).
  • In genere, il rinnovo del certificato viene avviato 10 giorni prima della scadenza.
  • Non devi intervenire quando un certificato viene rinnovato. Il nuovo certificato sostituisce automaticamente quello esistente prima della data di scadenza, senza alcun impatto sul traffico in tempo reale.

Poiché la pipeline di emissione convalida nuovamente il controllo del dominio prima del rinnovo, assicurati di non eliminare i record DNS configurati per l'autorizzazione DNS. L'eliminazione del record utilizzato per dimostrare la convalida del controllo del dominio (DCV) comporta l'impossibilità di rinnovare i certificati e impedisce ai client di connettersi tramite HTTPS (TLS) alla scadenza del certificato.

Record CAA e radici

Per verificare la compatibilità con i dispositivi client, tra cui smart TV, smartphone e TV box di vecchia generazione, puoi trovare l'insieme completo delle CA radice utilizzate da Google all'indirizzo pki.goog.

Per consentire a Certificate Manager e Media CDN di emettere certificati per un dominio con record CAA esistenti, aggiungi il record CAA pki.goog:

DOMAIN_NAME. CAA 0 issue "pki.goog"

I domini che non hanno record CAA esistenti non devono aggiungere questo record, ma lo consigliamo come best practice.

Scopri di più sui record CAA.

Limiti dei certificati

Puoi emettere fino a 1000 certificati gestiti e 1000 autorizzazioni DNS per progetto. Per altri limiti e quote correlati, consulta la documentazione su quote e limiti .

Versioni TLS supportate

Media CDN supporta le seguenti versioni TLS:

Versione TLS Supportato Cifrari inclusi
SSL 3.0 No N/A (non supportato)
TLS 1.0 No N/A (non supportato)
TLS 1.1 No N/A (non supportato)
TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Inoltre:

  • I dispositivi che non supportano le versioni moderne di TLS (ad esempio TLS 1.3) negoziano automaticamente una versione TLS supportata.
  • TLS 1.2 è la versione TLS minima supportata per Media CDN.
  • Media CDN non supporta l'attacco di criteri SSL a un servizio.

Risolvere i problemi relativi al rilascio dei certificati

Se riscontri errori con l'emissione dei certificati, scopri come risolvere i problemi di emissione dei certificati.

Passaggi successivi