Google har lanceret sin egen rodcertifikatmyndighed (CA), som giver virksomheden mulighed for at udstede digitale certifikater til sine egne produkter og ikke behøver at være afhængig af tredjepartscertifikater i sin søgen efter at implementere HTTPS på tværs af alt Google.
Indtil videre har Google fungeret som sin egen underordnede CA (GIAG2) med sikkerhedscertifikater udstedt af en tredjepart. Virksomheden vil fortsætte tredjepartsforholdet, selv når HTTPS udrulles på tværs af sine produkter og tjenester ved hjælp af sin egen root CA, sagde Ryan Hurst, en leder i Googles Group for Security and Privacy Engineering. Google Trust Services vil drive rod-CA for Google og dets moderselskab, Alphabet.
Det var kun et spørgsmål om tid, da internetgiganten sandsynligvis er træt af, at forskellige myndigheder fejlagtigt udsteder forkerte / ugyldige Google-certifikater. GlobalSign havde et problem med at tilbagekalde certifikater sidste efterår, der påvirkede tilgængeligheden af flere webejendomme, og store browserproducenter ledet af Mozilla besluttede at tilbagekalde tilliden til WoSign / StartComm-certifikater for overtrædelser af branchens praksis. Symantec er blevet kaldt ud for gentagne gange at generere certifikater, som det ikke er autoriseret til, og derefter ved et uheld lækker dem uden for virksomhedens testmiljø. Nu er Google i stand til at udstede verificerbare Google-certifikater, hvilket frigør virksomheden fra det ældre certifikatmyndighedssystem.
For at starte overgangen til en uafhængig infrastruktur købte Google to Root Certificate Authorities, GlobalSign R2 (GS Root R2) og R4 (GS Root R4). Det tager et stykke tid at integrere rodcertifikater i produkter og for de tilknyttede versioner at blive bredt anvendt, så køb af eksisterende root CA'er hjælper Google med at begynde uafhængigt at udstede certifikater hurtigere, sagde Hurst.
Google Trust Services vil drive seks rodcertifikater: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 og GS Root R4. Alle GTS-rødder udløber i 2036, mens GS Root R2 udløber i 2021 og GS Root R4 i 2038. Google vil også være i stand til at krydssignere sine CA'er ved hjælp af GS Root R3 og GeoTrust for at lette potentielle timingproblemer, mens roden oprettes CA'er.
"Google vedligeholder en prøve PEM-fil på (//pki.goog/roots.pem), som periodisk opdateres til at omfatte Google Trust Services-ejede og drevne rødder samt andre rødder, der kan være nødvendige nu eller i fremtiden for at kommunikere med og bruge Google-produkter og -tjenester, "sagde Hurst.
Udviklere, der arbejder med kode, der er designet til at oprette forbindelse til Googles webtjenester eller -produkter, bør planlægge at "som minimum" medtage de rodcertifikater, der drives af Google som tillid til, men prøv at holde et "bredt sæt pålidelige rødder", som inkluderer, men ikke begrænset til dem, der tilbydes via Google Trust Services, sagde Hurst.
Når det kommer til at arbejde med certifikater og TLS, er der visse bedste fremgangsmåder, som alle udviklere skal følge, såsom streng transportsikkerhed (HSTS), certifikatfastgørelse, brug af moderne krypteringskrypteringssuiter, sikker madlavning og undgå blanding af usikkert indhold.
Der er ingen grund til, at Google ikke kan styre sin egen root CA, da den har ekspertise, modenhed og ressourcer til at drive en øverste myndighed. Google er ikke fremmed for kravene fra en betroet CA, der har udstedt TLS-certifikater til Google-domæner gennem årene, og virksomheden har været meget involveret i CA / Browser Forum, der fremmer det "højeste sikkerhedsniveau for internettet," sagde Doug Beattie, vicepræsident hos certifikatmyndigheden GlobalSign. Google er "veluddannet i, hvad det betyder at være CA," sagde han.
Google lancerede også Certificate Transparency, et offentligt register over pålidelige certifikater, der kan revideres og overvåges. Mens CT oprindeligt lod Google holde øje med, om nogen udstedte falske Google-certifikater, betyder det også, at alle kan holde øje med, hvilken slags certifikater Google udsteder. Gennemsigtighed går begge veje.
Når det er sagt, bliver Google en rod-CA, så den officielt kan angive, hvilke tjenester og produkter der er Google. At blive root-CA betyder ikke, at Google udsteder certifikater til ikke-Google-parter. Hvis det gør det, er det værd at gå tilbage for at diskutere, om Google udnytter sin massive kontrol over internetinfrastruktur uretfærdigt. Indtil da siger alt, hvad Google gør, at det er Google.
