Programování

Google přechází do podnikání s certifikační autoritou

Google spustil vlastní kořenovou certifikační autoritu (CA), která společnosti umožní vydávat digitální certifikáty pro své vlastní produkty a nebude muset spoléhat na certifikační autority třetích stran ve snaze implementovat HTTPS napříč všemi Google.

Google dosud fungoval jako vlastní podřízený CA (GIAG2) s bezpečnostními certifikáty vydanými třetí stranou. Společnost bude pokračovat ve vztahu k třetím stranám i při zavádění HTTPS napříč svými produkty a službami pomocí vlastní kořenové certifikační autority, uvedl Ryan Hurst, manažer ve skupině Google Security and Privacy Engineering. Důvěryhodné služby Google budou provozovat kořenovou CA pro Google a její mateřskou společnost Alphabet.

Byla to jen otázka času, protože internetový gigant je pravděpodobně unavený různými úřady, které omylem vydávají nesprávné / neplatné certifikáty Google. GlobalSign měl minulý rok na podzim problém s odvoláním certifikátů, který ovlivnil dostupnost několika webových služeb, a hlavní tvůrci prohlížečů pod vedením Mozilly se rozhodli zrušit důvěru v certifikáty WoSign / StartComm kvůli porušení průmyslových postupů. Společnost Symantec byla vyzvána k opakovanému generování certifikátů, k nimž nemá oprávnění, a k jejich náhodnému úniku mimo testovací prostředí společnosti. Google nyní může vydávat ověřitelné certifikáty Google, čímž společnost osvobodí od starého systému certifikačních autorit.

Google zahájil přechod na nezávislou infrastrukturu a zakoupil dvě kořenové certifikační autority, GlobalSign R2 (GS Root R2) a R4 (GS Root R4). Vložení kořenových certifikátů do produktů a širší nasazení přidružených verzí trvá nějakou dobu, takže nákup stávajících kořenových certifikačních autorit pomáhá Googlu začít samostatně vydávat certifikáty dříve, řekl Hurst.

Google Trust Services bude provozovat šest kořenových certifikátů: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 a GS Root R4. Platnost všech kořenů GTS vyprší v roce 2036, zatímco GS Root R2 vyprší v roce 2021 a GS Root R4 v roce 2038. Google bude také moci křížově podepisovat své certifikační autority pomocí GS Root R3 a GeoTrust, což usnadní případné problémy s načasováním při nastavování root CA.

„Google udržuje ukázkový soubor PEM na adrese (//pki.goog/roots.pem), který je pravidelně aktualizován tak, aby zahrnoval kořeny vlastněné a provozované službou Google Trust Services a další kořeny, které mohou být nyní nebo v budoucnu nezbytné ke komunikaci používat a používat produkty a služby Google, “řekl Hurst.

Vývojáři pracující na kódu navrženém pro připojení k webovým službám nebo produktům Google by měli plánovat zahrnout „minimálně“ kořenové certifikáty provozované společností Google jako důvěryhodné, ale pokusit se zachovat „širokou škálu důvěryhodných kořenů“, které zahrnují, ale jsou neomezeno pouze na ty, které nabízí Google Trust Services, řekl Hurst.

Pokud jde o práci s certifikáty a TLS, existují určité osvědčené postupy, které by měli všichni vývojáři dodržovat, například přísné zabezpečení přenosu (HSTS), připnutí certifikátu, používání moderních šifrovacích šifrovacích sad, bezpečné vaření a zamezení míchání nezabezpečeného obsahu.

Neexistuje žádný důvod, proč Google nemůže spravovat vlastní kořenovou certifikační autoritu, protože má odborné znalosti, vyspělost a zdroje k provozování nejvyšší úrovně autority. Google není cizí požadavkům důvěryhodného CA, který v průběhu let vydal certifikáty TLS pro domény Google, a společnost se velmi angažuje ve fóru CA / Browser Forum propagujícím „nejvyšší úroveň zabezpečení internetu“, řekl Doug Beattie, viceprezident certifikační autority GlobalSign. Google je „vzdělaný v tom, co to znamená být CA,“ řekl.

Google také spustil Certificate Transparency, veřejný registr důvěryhodných certifikátů, který lze auditovat a monitorovat. Zatímco CT původně umožnilo Googlu sledovat, zda někdo vydává podvodné certifikáty Google, znamená to také, že každý může sledovat, jaký druh certifikátů Google vydává. Transparentnost jde oběma způsoby.

Google se však stává kořenovou certifikační autoritou, aby mohl oficiálně určit, které služby a produkty jsou Google. Stát se kořenovou CA neznamená, že Google bude vydávat certifikáty stranám mimo Google. Pokud ano, pak stojí za to vrátit se k diskusi o tom, zda Google využívá svou masivní kontrolu nad internetovou infrastrukturou nespravedlivě. Do té doby vše, co Google dělá, říká, že je Google.

$config[zx-auto] not found$config[zx-overlay] not found