„Google“ įsteigė savo šaknų sertifikatų tarnybą (CA), kuri leis įmonei išduoti skaitmeninius sertifikatus savo produktams ir neprivalės priklausyti nuo trečiųjų šalių CA, siekdama įdiegti HTTPS visame „Google“.
Iki šiol „Google“ veikė kaip savo pavaldi CA (GIAG2), turėdama trečiosios šalies išduotus saugos sertifikatus. Bendrovė tęs santykius su trečiosiomis šalimis, net naudodama savo šakninį CA, naudodama savo produktus ir paslaugas HTTPS, sakė Ryanas Hurstas, „Google“ saugos ir privatumo inžinerijos grupės vadovas. „Google Trust Services“ valdys pagrindinę „Google“ ir jos patronuojančios įmonės „Alphabet“ CA.
Tai buvo tik laiko klausimas, nes interneto milžinė greičiausiai atsibodo, kad įvairios valdžios institucijos klaidingai išduoda neteisingus / negaliojančius „Google“ sertifikatus. „GlobalSign“ praėjusį rudenį kilo problema atšaukiant sertifikatus, kurie turėjo įtakos kelių žiniatinklio ypatybių prieinamumui, o pagrindiniai „Mozilla“ vadovaujami naršyklių kūrėjai nusprendė atšaukti pasitikėjimą „WoSign / StartComm“ sertifikatais dėl pramonės praktikos pažeidimų. „Symantec“ buvo paraginta pakartotinai generuoti sertifikatus, kuriems ji neturi leidimo, ir netyčia juos nutekinti už įmonės bandymų aplinkos ribų. Dabar „Google“ gali išduoti patikrinamus „Google“ sertifikatus, išlaisvindama įmonę nuo pasenusios sertifikato priežiūros sistemos.
Norėdami pradėti pereiti prie nepriklausomos infrastruktūros, „Google“ įsigijo dvi pagrindinio sertifikato institucijas - „GlobalSign R2“ („GS Root R2“) ir „R4“ („GS Root R4“). Įterpti šakninius sertifikatus į produktus ir susietas susijusias versijas reikia daug laiko, todėl įsigijus esamas šaknines CA, „Google“ gali padėti anksčiau pradėti savarankiškai išduoti sertifikatus, sakė Hurstas.
„Google Trust Services“ valdys šešis pagrindinius sertifikatus: „GTS Root R1“, „GTS Root R2“, „GTS Root 3“, „GTS Root 4“, „GS Root R2“ ir „GS Root R4“. Visos GTS šaknys nustoja galioti 2036 m., O GS Root R2 galiojimas baigiasi 2021 m., O GS Root R4 - 2038 m. „Google“ taip pat galės kryžminiai pasirašyti savo CA naudodama „GS Root R3“ ir „GeoTrust“, kad palengvintų galimas laiko problemas nustatant šaknį. CA.
„Google“ palaiko PEM failo pavyzdį adresu (//pki.goog/roots.pem), kuris periodiškai atnaujinamas įtraukiant „Google“ patikimumo tarnybų turimas ir valdomas šaknis, taip pat kitas šaknis, kurių gali prireikti dabar arba ateityje norint bendrauti su „Google“ produktais ir paslaugomis ir jais naudojasi “, - sakė Hurstas.
Kūrėjai, dirbantys prie kodo, skirto prisijungti prie „Google“ žiniatinklio paslaugų ar produktų, turėtų planuoti „bent jau“ įtraukti „Google“ valdomus šakninius sertifikatus kaip patikimus, tačiau stengtis išlaikyti „platų patikimų šaknų rinkinį“, kuris apima, bet yra neapsiriboja tomis, kurias siūlo per „Google Trust Services“, sakė Hurstas.
Kalbant apie darbą su sertifikatais ir TLS, yra tam tikrų geriausių praktikų, kurių turėtų laikytis kūrėjai, pvz., Griežto transporto saugumo (HSTS), sertifikatų tvirtinimo, šiuolaikinių šifravimo šifravimo programų rinkinių naudojimo, saugaus maisto ruošimo ir vengimo nesaugaus turinio maišymo.
Nėra jokios priežasties, kodėl „Google“ negali valdyti savo šakninio CA, nes ji turi patirties, brandos ir išteklių valdyti aukščiausio lygio instituciją. „Google“ nėra svetimi patikimos CA reikalavimai, daugelį metų išleidusi TLS sertifikatus „Google“ domenams, o įmonė labai dalyvavo CA / naršyklių forume, kuriame buvo reklamuojamas „aukščiausio lygio interneto saugumas“, - sakė Dougas. Beattie, sertifikavimo institucijos „GlobalSign“ viceprezidentė. „Google“ yra „gerai išsilavinusi, ką reiškia būti CA“, - sakė jis.
„Google“ taip pat pristatė viešą patikimų sertifikatų, kuriuos galima tikrinti ir stebėti, registrą. Nors CT iš pradžių leido „Google“ stebėti, ar kas nors išduoda apgaulingus „Google“ sertifikatus, tai taip pat reiškia, kad kiekvienas gali stebėti, kokius „Google“ sertifikatus išduoda. Skaidrumas vyksta abiem kryptimis.
Be to, „Google“ tampa pagrindine CA, kad galėtų oficialiai nurodyti, kurios paslaugos ir produktai yra „Google“. Tapimas šakniniu CA nereiškia, kad „Google“ išduos sertifikatus ne „Google“ šalims. Jei taip, verta grįžti ir aptarti, ar „Google“ nesąžiningai naudojasi didžiuliu interneto infrastruktūros valdymu. Iki tol viskas, ką daro „Google“, sako, kad tai yra „Google“.
