Google ir izlaidusi savu saknes sertifikātu iestādi (CA), kas ļaus uzņēmumam izsniegt digitālos sertifikātus saviem produktiem, un, cenšoties ieviest HTTPS visā Google, tam nebūs jābūt atkarīgam no trešo personu CA.
Līdz šim Google darbojas kā savs padotais CA (GIAG2) ar trešās puses izsniegtiem drošības sertifikātiem. Uzņēmums turpinās trešo pušu attiecības, pat izstrādājot HTTPS visos produktos un pakalpojumos, izmantojot savu saknes CA, sacīja Ryan Security and Privacy Engineering grupas vadītājs Ryan Hurst. Google Trust Services pārvaldīs Google saknes CA un tā mātesuzņēmumu Alfabēts.
Tas bija tikai laika jautājums, jo interneta gigantam, iespējams, ir apnicis, ka dažādas iestādes kļūdaini izsniedz nepareizus / nederīgus Google sertifikātus. Pagājušā gada rudenī GlobalSign bija problēma ar sertifikātu atsaukšanu, kas ietekmēja vairāku tīmekļa rekvizītu pieejamību, un galvenie pārlūkprogrammu veidotāji, kurus vadīja Mozilla, nolēma atsaukt uzticību WoSign / StartComm sertifikātiem par nozares prakses pārkāpumiem. Symantec ir izsaukts par atkārtotu sertifikātu ģenerēšanu, kuriem tas nav atļauts, un pēc tam tos nejauši nopludina ārpus uzņēmuma testa vides. Tagad Google var izdot pārbaudāmus Google sertifikātus, atbrīvojot uzņēmumu no mantotās sertifikātu autorizācijas sistēmas.
Lai sāktu pāreju uz neatkarīgu infrastruktūru, Google iegādājās divas saknes sertificēšanas iestādes - GlobalSign R2 (GS Root R2) un R4 (GS Root R4). Sakņu sertifikātu iegulšana produktos un saistīto versiju plaša izvietošana prasa zināmu laiku, tāpēc esošo saknes CA iegāde palīdz Google ātrāk sākt patstāvīgi izsniegt sertifikātus, sacīja Hursts.
Google Trust Services darbosies ar sešiem saknes sertifikātiem: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 un GS Root R4. Visas GTS saknes zaudē spēku 2036. gadā, savukārt GS Root R2 termiņš beidzas 2021. gadā un GS Root R4 2038. gadā. Google arī varēs savstarpēji parakstīt savas CA, izmantojot GS Root R3 un GeoTrust, lai atvieglotu iespējamās laika problēmas, vienlaikus izveidojot sakni. CA.
"Google uztur PEM faila paraugu vietnē (//pki.goog/roots.pem), kas tiek periodiski atjaunināts, iekļaujot tajā Google uzticamības pakalpojumu īpašumā esošās un pārvaldītās saknes, kā arī citas saknes, kas var būt nepieciešamas tagad vai nākotnē saziņai. ar Google produktiem un pakalpojumiem un tos izmantot, "sacīja Hursts.
Izstrādātājiem, kuri strādā pie koda, kas izveidots, lai izveidotu savienojumu ar Google tīmekļa pakalpojumiem vai produktiem, būtu jāplāno "vismaz" iekļaut saknes sertifikātus, kurus Google pārvalda kā uzticamus, taču jācenšas saglabāt "plašu uzticamu sakņu kopumu", kas ietver, bet ir neaprobežojoties ar tiem, kas tiek piedāvāti, izmantojot Google Trust Services, sacīja Hursts.
Kad runa ir par darbu ar sertifikātiem un TLS, visiem izstrādātājiem būtu jāievēro noteikta paraugprakse, piemēram, stingra transporta drošība (HSTS), sertifikātu piespraušana, modernu šifrēšanas šifru komplektu izmantošana, droša gatavošana un izvairīšanās no nedroša satura sajaukšanas.
Nav iemesla, kāpēc Google nevar pārvaldīt savu saknes SI, jo tam ir zināšanas, briedums un resursi, lai darbotos augstākā līmeņa iestādē. Google nav sveša uzticamas SI prasības, jo gadu gaitā tā ir izsniegusi TLS sertifikātus Google domēniem, un uzņēmums ir ļoti iesaistījies CA / pārlūku forumā, kas reklamē "visaugstāko interneta drošības līmeni", sacīja Dags. Bītijs, sertifikātu izdevēja GlobalSign viceprezidents. Google ir "labi izglītots, ko nozīmē būt CA", viņš teica.
Google arī uzsāka sertifikātu pārredzamību - uzticamu sertifikātu publisku reģistru, kurus var pārbaudīt un uzraudzīt. Kaut arī sākotnēji CT ļāva Google sekot līdzi tam, vai kāds izsniedz krāpnieciskus Google sertifikātus, tas arī nozīmē, ka ikviens var sekot līdzi tam, kādus sertifikātus Google izsniedz. Pārredzamība notiek abos virzienos.
Tas nozīmē, ka Google kļūst par galveno CA, lai varētu oficiāli norādīt, kuri pakalpojumi un produkti ir Google. Kļūšana par saknes CA nenozīmē, ka Google izsniedz sertifikātus personām, kas nav Google puses. Ja tas tā notiek, ir vērts atgriezties, lai apspriestu, vai Google negodīgi izmanto milzīgo interneta infrastruktūras kontroli. Līdz tam viss, ko dara Google, saka, ka tas ir Google.
