Google преминава към бизнеса на сертифициращия орган

Google стартира свой собствен орган за сертифициране (CA), който ще позволи на компанията да издава цифрови сертификати за собствените си продукти и да не се налага да разчита на трети страни CA в стремежа си да внедри HTTPS във всичко Google.

Досега Google работи като свой подчинен CA (GIAG2) със сертификати за сигурност, издадени от трета страна. Компанията ще продължи връзката с трети страни, дори докато пуска HTTPS в своите продукти и услуги, използвайки собствения си root root, каза Райън Хърст, мениджър в групата на Google за сигурност и поверителност. Google Trust Services ще управлява основния CA за Google и неговата компания майка Alphabet.

Въпрос на време беше, тъй като интернет гигантът вероятно е уморен от различни власти, които погрешно издават неправилни / невалидни сертификати на Google. GlobalSign имаше проблем с отмяната на сертификати миналата есен, което се отрази на наличието на няколко уеб свойства и големите производители на браузъри, водени от Mozilla, решиха да отнемат доверието в сертификатите WoSign / StartComm за нарушения на индустриалните практики. Symantec е призован за многократно генериране на сертификати, за които не е упълномощен, след което случайно ги изпуска извън тестовата среда на компанията. Сега Google е в състояние да издава проверими сертификати на Google, освобождавайки компанията от старата система за сертифициране.

За да започне прехода към независима инфраструктура, Google закупи два органа за сертифициране на корен, GlobalSign R2 (GS Root R2) и R4 (GS Root R4). Отнема известно време да се вграждат коренни сертификати в продукти и свързаните версии да бъдат широко разгърнати, така че закупуването на съществуващи root сертификати помага на Google да започне независимо да издава сертификати по-рано, каза Хърст.

Google Trust Services ще работи с шест основни сертификата: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 и GS Root R4. Всички корени на GTS изтичат през 2036 г., докато GS Root R2 изтича през 2021 г. и GS Root R4 през 2038 г. Google също така ще може да подписва кръстосано своите сертификати, използвайки GS Root R3 и GeoTrust, за да облекчи потенциални проблеми с времето при настройката на root CA.

„Google поддържа примерен PEM файл на адрес (//pki.goog/roots.pem), който периодично се актуализира, за да включва притежаваните и управлявани корени на Google Trust Services, както и други корени, които може да са необходими сега или в бъдеще за комуникация с и използвайте Продукти и услуги на Google ", каза Хърст.

Разработчиците, работещи по код, предназначен за свързване с уеб услуги или продукти на Google, трябва да планират да включват „минимум“ коренните сертификати, експлоатирани от Google като надеждни, но се опитват да запазят „широк набор от надеждни корени“, които включват, но са не се ограничава до тези, предлагани чрез Google Trust Services, каза Хърст.

Що се отнася до работата със сертификати и TLS, има някои най-добри практики, които всички разработчици трябва да спазват, като строга транспортна сигурност (HSTS), закрепване на сертификати, използване на съвременни шифроващи шифрови пакети, сигурно готвене и избягване на смесване на несигурно съдържание.

Няма причина Google да не може да управлява собствения си корен CA, тъй като разполага с опит, зрялост и ресурси, за да управлява орган от най-високо ниво. Google не е непознат за изискванията на доверен CA, тъй като през годините е издал TLS сертификати за домейни на Google и компанията е била много ангажирана с CA / Browser Forum, насърчавайки „най-високото ниво на сигурност за интернет“, каза Дъг Бийти, вицепрезидент на сертифициращия орган GlobalSign. Google е „добре образован какво означава да си CA“, каза той.

Google стартира и Прозрачност на сертификатите, публичен регистър на надеждни сертификати, който може да бъде одитиран и наблюдаван. Докато CT първоначално позволяваше на Google да следи дали някой издава измамни сертификати на Google, това също означава, че всеки може да следи какъв вид сертификати издава Google. Прозрачността върви и в двете посоки.

Въпреки това Google се превръща в root CA, за да може официално да заяви кои услуги и продукти са Google. Ставането на root CA не означава, че Google ще издава сертификати на страни, които не са Google. Ако го направи, тогава си струва да се върнем, за да обсъдим дали Google се възползва несправедливо от огромния си контрол над интернет инфраструктурата. Дотогава всичко, което Google прави, е, че е Google.