Η Google ξεκίνησε τη δική της Αρχή Πιστοποιητικού ρίζας (CA), η οποία θα επιτρέψει στην εταιρεία να εκδίδει ψηφιακά πιστοποιητικά για τα δικά της προϊόντα και να μην χρειάζεται να εξαρτάται από ΑΠ τρίτων στην προσπάθειά της να εφαρμόσει HTTPS σε όλα τα Google.
Μέχρι στιγμής, η Google λειτουργεί ως δική της δευτερεύουσα ΑΠ (GIAG2) με πιστοποιητικά ασφαλείας που εκδίδονται από τρίτο μέρος. Η εταιρεία θα συνεχίσει τη σχέση τρίτου μέρους, ακόμη και όταν κυκλοφορεί HTTPS σε όλα τα προϊόντα και τις υπηρεσίες της χρησιμοποιώντας τη δική της ρίζα CA, δήλωσε ο Ryan Hurst, διευθυντής του ομίλου Security and Privacy Engineering της Google. Οι Υπηρεσίες Google Trust θα λειτουργούν τη ρίζα CA για την Google και τη μητρική της εταιρεία, Alphabet.
Ήταν μόνο θέμα χρόνου, καθώς ο γίγαντας του Διαδικτύου είναι πιθανότατα κουρασμένος από διάφορες αρχές που εκδίδουν λανθασμένα / μη έγκυρα πιστοποιητικά Google. Η GlobalSign είχε ένα πρόβλημα ανάκλησης πιστοποιητικών το περασμένο φθινόπωρο που επηρέασε τη διαθεσιμότητα αρκετών ιδιοτήτων ιστού και σημαντικοί κατασκευαστές προγραμμάτων περιήγησης με επικεφαλής τον Mozilla αποφάσισαν να ανακαλέσουν την εμπιστοσύνη στα πιστοποιητικά WoSign / StartComm για παραβιάσεις των βιομηχανικών πρακτικών. Η Symantec έχει κληθεί για τη δημιουργία επανειλημμένων πιστοποιητικών για τα οποία δεν είναι εξουσιοδοτημένη και, στη συνέχεια, τα διαρρέει κατά λάθος έξω από το περιβάλλον δοκιμών της εταιρείας. Τώρα, η Google είναι σε θέση να εκδώσει επαληθεύσιμα πιστοποιητικά Google, απελευθερώνοντας την εταιρεία από το σύστημα αρχής έκδοσης πιστοποιητικών παλαιού τύπου.
Για να ξεκινήσει η μετάβαση σε μια ανεξάρτητη υποδομή, η Google αγόρασε δύο Αρχές Πιστοποιητικών Root, το GlobalSign R2 (GS Root R2) και το R4 (GS Root R4). Χρειάζεται λίγος χρόνος για την ενσωμάτωση πιστοποιητικών ρίζας σε προϊόντα και για την ευρεία ανάπτυξη των συσχετισμένων εκδόσεων, οπότε η αγορά υπαρχόντων CA root βοηθάει την Google να ξεκινήσει ανεξάρτητα την έκδοση πιστοποιητικών νωρίτερα, δήλωσε ο Hurst.
Οι Υπηρεσίες Google Trust θα διαθέτουν έξι πιστοποιητικά ρίζας: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 και GS Root R4. Όλες οι ρίζες GTS λήγουν το 2036, ενώ το GS Root R2 λήγει το 2021 και το GS Root R4 το 2038. Η Google θα μπορεί επίσης να διασταυρώσει τις CA της, χρησιμοποιώντας τα GS Root R3 και GeoTrust, για να διευκολύνει πιθανά προβλήματα χρονισμού κατά τη ρύθμιση ΑΑ.
"Η Google διατηρεί ένα δείγμα αρχείου PEM στο (//pki.goog/roots.pem) το οποίο ενημερώνεται περιοδικά ώστε να περιλαμβάνει τις ρίζες που ανήκουν και λειτουργούν από τις Υπηρεσίες εμπιστοσύνης Google, καθώς και άλλες ρίζες που μπορεί να είναι απαραίτητες τώρα ή στο μέλλον για επικοινωνία με και χρησιμοποιήστε τα προϊόντα και τις υπηρεσίες Google ", δήλωσε ο Hurst.
Οι προγραμματιστές που εργάζονται σε κώδικα που έχουν σχεδιαστεί για να συνδέονται με υπηρεσίες Ιστού Google ή προϊόντα πρέπει να σχεδιάζουν να συμπεριλάβουν "τουλάχιστον" τα πιστοποιητικά ρίζας που χρησιμοποιεί η Google ως αξιόπιστα, αλλά προσπαθούν να διατηρήσουν ένα "ευρύ φάσμα αξιόπιστων ριζών", που περιλαμβάνουν, αλλά είναι δεν περιορίζεται σε αυτά που προσφέρονται μέσω των Υπηρεσιών Google Trust, είπε ο Hurst.
Όταν πρόκειται για εργασία με πιστοποιητικά και TLS, υπάρχουν ορισμένες βέλτιστες πρακτικές που πρέπει να ακολουθούν όλοι οι προγραμματιστές, όπως αυστηρή ασφάλεια μεταφοράς (HSTS), καρφίτσωμα πιστοποιητικών, χρήση σύγχρονων κρυπτογραφημένων σουίτες, ασφαλές μαγείρεμα και αποφυγή ανάμειξης ανασφαλούς περιεχομένου.
Δεν υπάρχει κανένας λόγος για τον οποίο η Google δεν μπορεί να διαχειριστεί τη δική της ρίζα CA, καθώς διαθέτει την τεχνογνωσία, την ωριμότητα και τους πόρους για τη λειτουργία μιας αρχής ανώτατου επιπέδου. Η Google δεν είναι ξένη με τις απαιτήσεις μιας αξιόπιστης ΑΠ, έχοντας εκδώσει πιστοποιητικά TLS για τομείς Google με την πάροδο των ετών και η εταιρεία συμμετείχε πολύ στο φόρουμ CA / Browser που προωθεί το «υψηλότερο επίπεδο ασφάλειας για το Διαδίκτυο», δήλωσε ο Doug. Ο Beattie, αντιπρόεδρος της αρχής έκδοσης πιστοποιητικών GlobalSign. Η Google είναι "καλά εκπαιδευμένη σε αυτό που σημαίνει να είναι ΑΠ", είπε.
Η Google ξεκίνησε επίσης το Certificate Transparency, ένα δημόσιο μητρώο αξιόπιστων πιστοποιητικών που μπορεί να ελεγχθεί και να παρακολουθείται. Ενώ η CT αρχικά επέτρεψε στην Google να παρακολουθεί εάν κάποιος εκδίδει δόλια πιστοποιητικά Google, αυτό σημαίνει επίσης ότι οποιοσδήποτε μπορεί να παρακολουθεί τι είδους πιστοποιητικά εκδίδει η Google. Η διαφάνεια είναι αμφίδρομη.
Τούτου λεχθέντος, η Google γίνεται ρίζα CA, ώστε να μπορεί να δηλώσει επίσημα ποιες υπηρεσίες και προϊόντα είναι η Google. Το να γίνει root CA δεν σημαίνει ότι η Google θα εκδώσει πιστοποιητικά σε τρίτους που δεν ανήκουν στην Google. Εάν συμβαίνει αυτό, τότε αξίζει να επιστρέψουμε για να συζητήσουμε εάν η Google εκμεταλλεύεται άδικα τον τεράστιο έλεγχο της διαδικτυακής υποδομής. Μέχρι τότε, το μόνο που κάνει η Google λέει ότι είναι το Google.
