Google har lansert sin egen root Certificate Authority (CA), som vil tillate selskapet å utstede digitale sertifikater for sine egne produkter og ikke trenger å være avhengig av tredjeparts CAer i sin søken etter å implementere HTTPS på alt Google.
Så langt har Google operert som sin egen underordnede CA (GIAG2) med sikkerhetssertifikater utstedt av en tredjepart. Selskapet vil fortsette tredjepartsforholdet selv mens de lanserer HTTPS på tvers av sine produkter og tjenester ved hjelp av sin egen rot CA, sa Ryan Hurst, en leder i Googles Security and Privacy Engineering-gruppe. Google Trust Services vil drive rot-CA for Google og morselskapet Alphabet.
Det var bare et spørsmål om tid, da internettgiganten sannsynligvis er lei av at forskjellige myndigheter feilaktig utsteder uriktige / ugyldige Google-sertifikater. GlobalSign hadde et problem med å tilbakekalle sertifikater i fjor høst som påvirket tilgjengeligheten av flere nettegenskaper, og store nettleserprodusenter ledet av Mozilla bestemte seg for å oppheve tilliten til WoSign / StartComm-sertifikater for brudd på bransjepraksis. Symantec har blitt kalt ut for gjentatte ganger å generere sertifikater som det ikke er autorisert til, og ved et uhell lekker dem utenfor selskapets testmiljø. Nå er Google i stand til å utstede verifiserbare Google-sertifikater, og frigjør selskapet fra det eldre sertifikatmyndighetssystemet.
For å starte overgangen til en uavhengig infrastruktur, kjøpte Google to Root Certificate Authorities, GlobalSign R2 (GS Root R2) og R4 (GS Root R4). Det tar en stund å legge inn rotsertifikater i produkter og for de tilknyttede versjonene å bli bredt distribuert, så å kjøpe eksisterende rot-CAer hjelper Google med å begynne uavhengig å utstede sertifikater tidligere, sa Hurst.
Google Trust Services vil operere seks rotsertifikater: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 og GS Root R4. Alle GTS-røtter utløper i 2036, mens GS Root R2 utløper i 2021 og GS Root R4 i 2038. Google vil også kunne krysssignere sine CAer ved hjelp av GS Root R3 og GeoTrust, for å lette potensielle timingproblemer mens du setter opp roten CAer.
"Google har en PEM-fil på (//pki.goog/roots.pem) som oppdateres med jevne mellomrom for å inkludere Google Trust Services-eide og drevne røtter, samt andre røtter som kan være nødvendige nå, eller i fremtiden for å kommunisere med og bruke Googles produkter og tjenester, "sa Hurst.
Utviklere som arbeider med kode designet for å koble seg til Googles webtjenester eller -produkter, bør planlegge å inkludere "som et minimum" rotsertifikatene som drives av Google som pålitelige, men prøv å ha et "bredt sett med pålitelige røtter", som inkluderer, men er ikke begrenset til de som tilbys gjennom Google Trust Services, sa Hurst.
Når det gjelder å jobbe med sertifikater og TLS, er det visse beste fremgangsmåter som alle utviklere bør følge, for eksempel streng transportsikkerhet (HSTS), sertifikatpinning, bruk av moderne krypteringskrypteringssuiter, sikker matlaging og å unngå å blande usikkert innhold.
Det er ingen grunn til at Google ikke kan administrere sin egen rot-CA, ettersom den har kompetanse, modenhet og ressurser til å drive en autoritet på toppnivå. Google er ikke fremmed for kravene til en pålitelig CA, etter å ha utstedt TLS-sertifikater for Google-domener gjennom årene, og selskapet har vært veldig involvert i CA / Browser Forum for å fremme det "høyeste sikkerhetsnivået for internett," sa Doug. Beattie, visepresident ved sertifikatmyndigheten GlobalSign. Google er "godt utdannet i hva det vil si å være en CA," sa han.
Google lanserte også Certificate Transparency, et offentlig register over pålitelige sertifikater som kan revideres og overvåkes. Mens CT opprinnelig lot Google holde øye med om noen utstedte falske Google-sertifikater, betyr dette også at alle kan holde øye med hva slags sertifikater Google utsteder. Åpenhet går begge veier.
Når det er sagt, blir Google en rot-CA, slik at den offisielt kan oppgi hvilke tjenester og produkter som er Google. Å bli rot-CA betyr ikke at Google vil utstede sertifikater til ikke-Google-parter. Hvis det gjør det, er det verdt å gå tilbake for å diskutere om Google utnytter sin enorme kontroll over internettinfrastruktur urettferdig. Inntil da, alt Google gjør er å si at det er Google.
