Programiranje

Google preide v posel Certificate Authority

Google je lansiral svoj lastni korenski certifikacijski organ (CA), ki bo podjetju omogočil izdajo digitalnih potrdil za lastne izdelke in mu pri iskanju HTTPS v vsem Googlu ni treba biti odvisen od neodvisnih overiteljev.

Do zdaj je Google deloval kot lastni podrejeni CA (GIAG2) z varnostnimi potrdili, ki jih je izdala tretja oseba. Podjetje bo nadaljevalo odnose s tretjimi osebami, tudi med uvajanjem protokola HTTPS za svoje izdelke in storitve z lastnim korenskim CA, je povedal Ryan Hurst, vodja Googlove skupine za varnost in zasebnost. Google Trust Services bo upravljal korenski CA za Google in njegovo nadrejeno družbo Alphabet.

Bilo je le vprašanje časa, saj se je internetni velikan verjetno naveličal različnih organov, ki so pomotoma izdali nepravilna / neveljavna Googlova potrdila. GlobalSign je lani jeseni imel težavo pri preklicu certifikatov, kar je vplivalo na razpoložljivost več spletnih lastnosti, zato so se glavni proizvajalci brskalnikov pod vodstvom Mozille odločili, da bodo preklicali zaupanje v certifikate WoSign / StartComm zaradi kršitev industrijskih praks. Symantec je bil poklican zaradi večkratnega ustvarjanja potrdil, za katera ni pooblaščen, nato pa jih je nenamerno puščal zunaj testnega okolja podjetja. Zdaj lahko Google izda preverljive Googlove certifikate, s čimer podjetje osvobodi starega sistema overiteljev potrdil.

Za začetek prehoda na neodvisno infrastrukturo je Google kupil dva organa za izdajo korenskih potrdil, GlobalSign R2 (GS Root R2) in R4 (GS Root R4). Hurst je dejal, da je treba nekaj časa vdelati korenska potrdila v izdelke in razširiti povezane različice, zato nakup obstoječih korenskih overiteljev pomaga Googlu, da začne samostojno izdajati potrdila prej.

Google Trust Services bo upravljal šest korenskih potrdil: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 in GS Root R4. Vse korenine GTS potečejo leta 2036, medtem ko GS Root R2 poteče leta 2021, GS Root R4 pa leta 2038. Google bo lahko tudi podpisoval svoje overitelje z uporabo GS Root R3 in GeoTrust, da bo olajšal morebitne težave s časom med nastavitvijo korena. CA.

"Google vzdržuje vzorčno datoteko PEM na naslovu (//pki.goog/roots.pem), ki se občasno posodablja tako, da vključuje korenine v lasti in upravljanju Googlovih skrbniških storitev, pa tudi druge korenine, ki so morda potrebne zdaj ali v prihodnosti za komunikacijo z Googlovimi izdelki in storitvami in jih uporablja, "je dejal Hurst.

Razvijalci, ki se ukvarjajo s kodo, namenjeno povezovanju z Googlovimi spletnimi storitvami ali izdelki, bi morali načrtovati, da bodo vključevali "najmanj" korenske certifikate, s katerimi Google upravlja kot zaupanja vredne, vendar poskušajo ohraniti "širok nabor zanesljivih korenin", ki vključujejo, vendar so ni omejeno na tiste, ki jih ponujajo storitve Google Trust Services, je dejal Hurst.

Pri delu s certifikati in TLS obstajajo nekatere najboljše prakse, ki bi jih morali upoštevati vsi razvijalci, na primer stroga varnost prevoza (HSTS), pripenjanje potrdil, uporaba sodobnih paketov šifrirnih šifer, varno kuhanje in izogibanje mešanju negotove vsebine.

Ni razloga, da Google ne bi mogel upravljati lastnega korenskega overitelja potrdil, saj ima strokovno znanje, zrelost in vire za upravljanje najvišjega organa. Googlu zahteve tujega overitelja potrditev niso tuje, saj je v preteklih letih izdal potrdila TLS za Googlove domene, podjetje pa je zelo vključeno v forum CA / Browser Forum, ki promovira "najvišjo raven varnosti interneta", je dejal Doug. Beattie, podpredsednica pri certifikacijskem organu GlobalSign. Google je "dobro izobražen, kaj pomeni biti overitelj," je dejal.

Google je izdal tudi preglednost potrdil, javni register zaupanja vrednih potrdil, ki ga je mogoče revidirati in spremljati. Čeprav je CT prvotno dovoljeval Googlu, da je opazoval, ali je kdo izdal lažne Googlove certifikate, to tudi pomeni, da lahko vsakdo spremlja, kakšna potrdila Google izdaja. Preglednost gre v obe smeri.

Kljub temu Google postaja korenski CA, da lahko uradno navede, katere storitve in izdelki so Google. Ko postane korenski overitelj CA, ne pomeni, da bo Google izdajal potrdila strankam, ki niso Googlove. Če se bo, potem se je vredno vrniti in se pogovoriti, ali Google nepošteno izkorišča svoj ogromen nadzor nad internetno infrastrukturo. Do takrat Google počne samo to, da je Google.

$config[zx-auto] not found$config[zx-overlay] not found