Puedes usar la CA de la autoridad certificadora pública para aprovisionar e implementar certificados X.509 de gran confianza después de validar que el solicitante de certificados controla los dominios. Public CA te permite solicitar de manera directa y programática certificados TLS de confianza pública que ya se encuentran en la raíz de los almacenes de confianza que usan los principales navegadores, sistemas operativos y aplicaciones. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet.
Public CA te permite administrar casos de uso de gran volumen que las AC tradicionales no pudieron admitir. Si eres cliente de Google Cloud, puedes solicitar certificados TLS para tus dominios directamente desde la AC pública.
La mayoría de los problemas relacionados con los certificados se deben a errores o descuidos humanos, por lo que recomendamos automatizar los ciclos de vida de los certificados. Public CA usa el protocolo Entorno de administración automática de certificados (ACME) para el aprovisionamiento, la renovación y la revocación automáticos de certificados. La administración de certificados reduce el tiempo de inactividad que los certificados vencidos pueden causar y minimiza los costos operativos.
La Public CA aprovisiona certificados TLS para varios servicios de Google Cloud, como App Engine, Cloud Shell, Google Kubernetes Engine y Cloud Load Balancing.
Quiénes deben usar Public CA
Puedes usar Public CA por los siguientes motivos:
- Si buscas un proveedor de TLS con alta ubicuidad, escalabilidad, seguridad y confiabilidad.
- Si deseas la mayoría de los certificados TLS, si no todos, para tu infraestructura, incluidas las cargas de trabajo locales y las configuraciones de proveedores entre nubes, de un solo proveedor de servicios en la nube.
- Si necesitas control y flexibilidad sobre la administración de certificados TLS para personalizarla según tus requisitos de infraestructura
- Si deseas automatizar la administración de certificados TLS, pero no puedes usarlos en los servicios de Google Cloud, como GKE o Cloud Load Balancing.
Te recomendamos que solo uses certificados de confianza pública cuando tus requisitos comerciales no permitan otra opción. Dado el costo y la complejidad históricos de mantener jerarquías de infraestructura de clave pública (PKI), muchas empresas usan jerarquías de PKI públicas incluso cuando una jerarquía privada tiene más sentido.
Mantener jerarquías públicas y privadas se volvió mucho más simple con varias ofertas de Google Cloud. Te recomendamos que elijas con cuidado el tipo de PKI correcto para tu caso de uso.
Para los requisitos de certificados no públicos, Google Cloud ofrece dos soluciones fáciles de administrar:
Anthos Service Mesh: Cloud Service Mesh incluye un aprovisionamiento de certificados de mTLS completamente automatizado para las cargas de trabajo que se ejecutan en GKE Enterprise mediante la autoridad certificadora de Cloud Service Mesh (autoridad certificadora de Cloud Service Mesh).
Certificate Authority Service: Certificate Authority Service te permite implementar, administrar y proteger AC privadas personalizadas de manera eficiente y sin administrar la infraestructura.
Beneficios de Public CA
Public CA proporciona los siguientes beneficios:
Automatización: Como los navegadores de Internet buscan un tráfico completamente encriptado y la reducción de los períodos de validez de los certificados, existe el riesgo de usar certificados TLS vencidos. El vencimiento de los certificados puede generar errores en el sitio web y interrupciones del servicio. Public CA evita el problema de vencimiento del certificado, ya que te permite configurar el servidor HTTPS para obtener y renovar automáticamente los certificados TLS necesarios desde nuestro extremo de ACME.
Cumplimiento: Public CA se somete a auditorías independientes rigurosas y periódicas de los controles de seguridad, privacidad y cumplimiento. Los sellos de Webtrust otorgados como resultado de estas auditorías anuales demuestran la conformidad de Public CA con todos los estándares relevantes de la industria.
Seguridad: La arquitectura y las operaciones de Public CA están diseñadas con el nivel más alto de estándares de seguridad y ejecuta evaluaciones independientes con regularidad para confirmar la seguridad de la infraestructura subyacente. Public CA cumple o supera todos los controles, las prácticas operativas y las medidas de seguridad que se mencionan en el informe de seguridad de Google.
El enfoque de Public CA en la seguridad se extiende a funciones como la validación de dominios de varias perspectivas. La infraestructura de Public CA se distribuye en todo el mundo. Por lo tanto, Public CA requiere un alto grado de acuerdo entre perspectivas geográficamente diversas, lo que brinda protección contra la usurpación del protocolo de puerta de enlace de frontera (BGP) y los ataques de secuestro del servidor de nombres de dominio (DNS).
Confiabilidad: El uso de la infraestructura técnica comprobada de Google hace que Public CA sea un servicio escalable y con alta disponibilidad.
Ubicuidad: La sólida ubicuidad de los navegadores de Google Trust Services garantiza que los servicios que usen certificados de Public CA funcionen en el rango más amplio posible de dispositivos y sistemas operativos.
Soluciones de TLS optimizadas para configuraciones híbridas: Public CA te permite compilar una solución de certificado TLS personalizada que use la misma AC para diferentes situaciones y casos de uso. Public CA entrega de manera eficaz los casos de uso en los que las cargas de trabajo se ejecutan de manera local o en un entorno de proveedor entre nubes.
Escalamiento: Los certificados suelen ser costosos y son difíciles de aprovisionar y mantener. Cuando ofrece acceso a grandes volúmenes de certificados, Public CA te permite usar y administrar certificados de formas que antes se consideraban poco prácticas.
Limitaciones de Public CA
Esta versión de Public CA no admite dominios de Punycode.