Cómo hace Google la gestión del ciclo de vida del certificado


En los últimos años, hemos visto que el uso de Transportation Layer Safety (TLS) en la world wide web aumenta a más del 96% de todo el tráfico visto por un navegador Chrome en Chrome OS. Eso es un aumento de más del 35% en solo cuatro años, como se informó en nuestro Informe de transparencia de Google. Ya sea un desarrollador world wide web, una empresa o un internauta, este es un logro colectivo que hace de Internet un lugar más seguro para todos.

La forma en que se implementa TLS también ha cambiado. La validez máxima del certificado para certificados públicos ha pasado de 5 años a 2 años (CA / Foro del navegador), y eso se reducirá a 1 año en el futuro cercano. Para reducir la cantidad de interrupciones causadas por la inscripción manual de certificados, el Grupo de trabajo de ingeniería de World wide web (IETF) ha estandarizado el entorno de administración automática de certificados (CUMBRE) ACME permite a las autoridades de certificación (CA) ofrecer certificados TLS para la website pública de forma automatizada e interoperable.


A medida que completamos este emocionante recorrido por historia reciente de TLS, sería negligente si no mencionáramos Encriptemos – la primera CA sin fines de lucro de confianza pública. Su enfoque en la automatización y TLS por defecto ha sido essential para este aumento masivo en el uso de TLS. De hecho, Permit&#39s Encrypt acaba de emitir su billonésimo (!) Certificado. Google ha sido un defensor activo de Let’s Encrypt porque creemos que el trabajo que hacen para hacer que TLS sea accesible es importante para la seguridad y la resistencia de la infraestructura de World wide web. ¡Sigue rockeando, encriptemos!

Simplificar la administración del ciclo de vida del certificado para los usuarios de Google
Estos son avances importantes que estamos haciendo colectivamente en la comunidad de seguridad. Al mismo tiempo, estos esfuerzos significan que nos estamos moviendo a claves de vida más corta para mejorar la seguridad, lo que a su vez requiere renovaciones de certificados más frecuentes. Además, las implementaciones de infraestructura se están volviendo más heterogéneas. El tráfico net se sirve desde múltiples centros de datos, a menudo de diferentes proveedores. Esto hace que sea difícil mantener manualmente las pestañas en las que los certificados deben renovarse y garantizar que los nuevos certificados se implementen correctamente. Entonces, ¿cuál es el camino a seguir?

Con los números de adopción citados anteriormente, está claro que TLS, Web PKI y la gestión del ciclo de vida del certificado son fundamentales para cada producto que nosotros y nuestros clientes construimos e implementamos. Es por eso que hemos estado expandiendo un esfuerzo significativo para habilitar TLS de manera predeterminada para nuestros productos y servicios, al tiempo que automatizamos las renovaciones de certificados para hacer que la gestión del ciclo de vida del certificado sea más confiable, escalable a nivel mundial y confiable para nuestros clientes. Nuestro objetivo es simple: queremos asegurarnos de que TLS funcione de manera inmediata, independientemente del servicio de Google que utilice.

En apoyo de ese objetivo, hemos habilitado la administración automática de certificados TLS para los servicios de Google utilizando un servicio ACME solo interno, Servicios de confianza de Google. Esto se aplica a nuestros propios productos y servicios, así como a nuestros clientes en Alphabet y Google Cloud. Como resultado, nuestros usuarios ya no tienen que preocuparse por cosas como la caducidad del certificado, ya que actualizamos automáticamente los certificados para nuestros clientes. Algunos aspectos destacados de la implementación incluyen:

  • Todos los weblogs de Blogger, Google Web pages y Google My Small business ahora obtienen HTTPS de forma predeterminada para sus dominios personalizados.
  • Los clientes de Google Cloud obtienen los beneficios de Managed TLS en sus dominios. Entonces:
    • Los desarrolladores que crean con Firebase, Cloud Operate y ​​AppEngine obtienen automáticamente HTTPS para sus aplicaciones.
    • Al implementar aplicaciones con Google Kubernetes Engine o detrás de Google Cloud Load Balancing (GCLB), la administración de certificados se ocupa de si los clientes eligen usar certificados administrados por Google. Esto también hace que el uso de TLS con estos productos sea fácil y confiable.

El rendimiento, la escalabilidad y la confiabilidad son requisitos fundamentales para los servicios de Google. Hemos establecido nuestra propia CA de confianza pública, Google Rely on Companies para garantizar que podamos cumplir con esos criterios para nuestros productos y servicios. Al mismo tiempo, creemos en la elección del usuario. Por lo tanto, a pesar de que le facilitamos el uso de los Servicios de confianza de Google, también hemos hecho posible que, en los productos y servicios de Google, usemos Permit&#39s Encrypt. Esta elección se puede hacer fácilmente a través de creación de un registro CAA indicando su preferencia

Si bien todos aprecian que TLS funcione de forma inmediata, también sabemos que los usuarios avanzados tienen necesidades especializadas. Es por eso que hemos proporcionado capacidades ricas en Equilibrio de carga en la nube de Google para permitir que los clientes controlen políticas sobre la terminación de TLS

Además, a través de nuestro trabajo en Transparencia de certificado En colaboración con otras organizaciones, hemos facilitado a nuestros clientes la protección de sus marcas y las de sus clientes al monitorear el ecosistema WebPKI en busca de certificados emitidos para sus dominios o aquellos que se parecen a sus dominios, para que puedan tomar medidas proactivas para detener cualquier abuso antes de que se convierta en un problema. Por ejemplo, Facebook usó Registros de transparencia de certificados para captura una serie de sitios web de phishing que intentaron hacerse pasar por sus servicios.

Reconocemos la importancia de la seguridad, la privacidad y la confiabilidad para usted y hemos estado invirtiendo en nuestra cartera de productos para garantizar que, cuando se trata de TLS, tenga las herramientas que necesita para implementar con confianza. En el futuro, esperamos una asociación continua para hacer de Net un lugar más seguro juntos.




Enlace a la noticia primary