Spoločnosť Google spustila svoju vlastnú koreňovú certifikačnú autoritu (CA), ktorá spoločnosti umožní vydávať digitálne certifikáty pre jej vlastné produkty a nebude musieť závisieť od certifikačných autorít tretích strán, pokiaľ ide o implementáciu protokolu HTTPS do všetkých služieb Googlu.
Spoločnosť Google doteraz fungovala ako vlastná podriadená CA (GIAG2) s bezpečnostnými certifikátmi vydanými treťou stranou. Spoločnosť bude pokračovať vo vzťahu s tretími stranami, a to aj pri rozširovaní protokolu HTTPS na svoje produkty a služby pomocou vlastnej koreňovej certifikačnej autority, uviedol Ryan Hurst, manažér v skupine Security and Privacy Engineering spoločnosti Google. Trustové služby Google budú prevádzkovať koreňovú CA pre spoločnosť Google a jej materskú spoločnosť Alphabet.
Bolo to len otázkou času, pretože internetového giganta už pravdepodobne unavujú rôzne úrady, ktoré omylom vydávajú nesprávne / neplatné certifikáty Google. Spoločnosť GlobalSign mala minulý rok na jeseň problém s odvolaním certifikátov, ktorý ovplyvnil dostupnosť niekoľkých webových vlastností, a hlavní tvorcovia prehľadávačov pod vedením Mozilly sa rozhodli zrušiť dôveru v certifikáty WoSign / StartComm z dôvodu porušenia priemyselných postupov. Spoločnosť Symantec bola vyzvaná k opakovanému generovaniu certifikátov, na ktoré nemá oprávnenie, a následnému náhodnému úniku mimo testovacie prostredie spoločnosti. Teraz je Google schopný vydávať overiteľné certifikáty Google, čím spoločnosť zbavuje staršieho systému certifikačných autorít.
Na úvod prechodu na nezávislú infraštruktúru spoločnosť Google zakúpila dve koreňové certifikačné autority, GlobalSign R2 (GS Root R2) a R4 (GS Root R4). Vloženie koreňových certifikátov do produktov a širšie nasadenie príslušných verzií trvá chvíľu, takže nákup existujúcich koreňových CA pomáha spoločnosti Google začať s nezávislým vydávaním certifikátov skôr, uviedol Hurst.
Trustové služby Google budú prevádzkovať šesť koreňových certifikátov: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 a GS Root R4. Platnosť všetkých koreňov GTS vyprší v roku 2036, zatiaľ čo GS Root R2 vyprší v roku 2021 a GS Root R4 v roku 2038. Google bude tiež môcť krížovo podpísať svoje CA pomocou GS Root R3 a GeoTrust, aby tak uľahčil potenciálne problémy s načasovaním pri nastavovaní koreňového adresára CA.
„Google uchováva vzorový súbor PEM na adrese (//pki.goog/roots.pem), ktorý je pravidelne aktualizovaný tak, aby obsahoval korene vlastnené a prevádzkované dôveryhodnými službami Google a ďalšie korene, ktoré môžu byť potrebné teraz alebo v budúcnosti na komunikáciu. s a používať Produkty a služby Google, “uviedol Hurst.
Vývojári pracujúci na kóde určenom na pripojenie k webovým službám alebo produktom Google by mali plánovať zahrnutie „minimálne“ koreňových certifikátov prevádzkovaných spoločnosťou Google ako dôveryhodných, ale pokúsiť sa zachovať „širokú škálu dôveryhodných koreňov“, ktoré zahŕňajú, ale sú neobmedzuje sa iba na tie, ktoré ponúkajú prostredníctvom dôveryhodných služieb Google, uviedol Hurst.
Pokiaľ ide o prácu s certifikátmi a TLS, existujú určité osvedčené postupy, ktoré by mali všetci vývojári dodržiavať, napríklad prísne zabezpečenie prenosu (HSTS), pripínanie certifikátov, použitie moderných šifrovacích šifrovacích balíkov, bezpečné varenie a zabránenie miešania nezabezpečeného obsahu.
Neexistuje žiadny dôvod, prečo Google nemôže spravovať svoju vlastnú koreňovú CA, pretože má odborné znalosti, vyspelosť a zdroje na to, aby fungoval s autoritou najvyššej úrovne. Spoločnosť Google nie je nijako cudzia požiadavkám dôveryhodnej CA, ktorá v priebehu rokov vydala certifikáty TLS pre domény Google, a spoločnosť sa veľmi angažuje vo fóre CA / Browser Forum, ktoré propaguje „najvyššiu úroveň bezpečnosti pre internet“, uviedol Doug Beattie, viceprezident certifikačnej autority GlobalSign. Google je „vzdelaný v tom, čo znamená byť CA“, uviedol.
Spoločnosť Google tiež uviedla na trh Transparentnosť certifikátov, verejný register dôveryhodných certifikátov, ktoré je možné skontrolovať a monitorovať. Zatiaľ čo CT pôvodne umožnilo spoločnosti Google dohliadať na to, či niekto vydáva podvodné certifikáty Google, znamená to tiež, že každý môže sledovať, aký druh certifikátov Google vydáva. Transparentnosť ide oboma smermi.
Google sa teda stáva koreňovým CA, aby mohol oficiálne uvádzať, ktoré služby a produkty sú Google. Stať sa koreňovým CA neznamená, že Google bude vydávať certifikáty stranám, ktoré nie sú spoločnosťami Google. Ak sa tak stane, potom stojí za to vrátiť sa k diskusii o tom, či Google nevyužíva svoju masívnu kontrolu nad internetovou infraštruktúrou nespravodlivo. Dovtedy všetko, čo Google robí, hovorí, že je Google.
