Google on perustanut oman juurivarmenteen myöntäjän (CA), jonka avulla yritys voi antaa digitaalisia varmenteita omille tuotteilleen eikä sen tarvitse olla riippuvainen kolmansien osapuolten varmentajista pyrkiessään ottamaan HTTPS käyttöön kaikessa Googlessa.
Google on toistaiseksi toiminut omana alaisena varmentajana (GIAG2) kolmannen osapuolen myöntämillä suojaustodistuksilla. Yritys jatkaa kolmannen osapuolen suhdetta, vaikka se ottaisi käyttöön HTTPS: n kaikissa tuotteissaan ja palveluissaan käyttäen omaa juurivarmentajaansa, sanoi Ryan Hurst, Googlen tietoturva- ja tietosuojaryhmän johtaja. Google Trust Services toimii Googlen ja sen emoyhtiön Alphabetin juurivarmentajana.
Se oli vain ajan kysymys, koska Internet-jättiläinen on todennäköisesti kyllästynyt siihen, että eri viranomaiset antavat virheellisesti virheellisiä / virheellisiä Google-varmenteita. GlobalSignilla oli viime syksynä varmenteiden peruuttamisessa ongelma, joka vaikutti useiden verkko-omaisuuksien saatavuuteen, ja suurimmat Mozillan johtamat selainvalmistajat päättivät peruuttaa luottamuksen WoSign / StartComm-varmenteisiin alan käytäntöjen rikkomusten vuoksi. Symantecia on kutsuttu toistuvasti luomaan sertifikaatit, joihin sillä ei ole lupaa, ja sitten vuotanut ne vahingossa yrityksen testiympäristön ulkopuolelle. Nyt Google pystyy antamaan todennettavia Google-varmenteita vapauttamalla yrityksen vanhan varmenteen myöntäjän järjestelmästä.
Aloittaakseen siirtymisen itsenäiseen infrastruktuuriin Google osti kaksi juurivarmentajaa, GlobalSign R2 (GS Root R2) ja R4 (GS Root R4). Juurivarmenteiden upottaminen tuotteisiin ja niihin liittyvien versioiden laaja käyttöönotto kestää jonkin aikaa, joten olemassa olevien juurivarmentajien ostaminen auttaa Googlea aloittamaan varmenteiden itsenäisen myöntämisen nopeammin, Hurst sanoi.
Google Trust Services käyttää kuutta päävarmennetta: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2 ja GS Root R4. Kaikki GTS-juuret vanhenevat vuonna 2036, kun taas GS Root R2 vanhenee vuonna 2021 ja GS Root R4 vuonna 2038. Google pystyy myös allekirjoittamaan varmentajansa GS Root R3: n ja GeoTrustin avulla helpottamaan mahdollisia ajoitusongelmia samalla kun juuret asennetaan CA: t.
"Google ylläpitää PEM-tiedostotiedostoa osoitteessa (//pki.goog/roots.pem), joka päivitetään säännöllisesti sisällyttämällä siihen Google Trust Servicesin omistamat ja ylläpitämät juuret sekä muut juuret, jotka saattavat olla tarpeen nyt tai tulevaisuudessa kommunikoida varten Googlen tuotteiden ja palveluiden kanssa ja käyttää niitä ", Hurst sanoi.
Kehittäjien on kehitettävä koodia, joka on suunniteltu muodostamaan yhteys Googlen verkkopalveluihin tai -tuotteisiin. Sen tulisi suunnitella sisällyttävän "vähintään" Googlen ylläpitämät juurivarmenteet luotettaviksi, mutta pyrittävä säilyttämään "laaja joukko luotettavia juuria", jotka sisältävät, mutta ovat ei rajoitu niihin, joita tarjotaan Googlen luottamuspalveluiden kautta, Hurst sanoi.
Varmenteiden ja TLS: n kanssa työskentelyssä on tiettyjä parhaita käytäntöjä, joita kaikkien kehittäjien tulisi noudattaa, kuten tiukka kuljetusturva (HSTS), varmenteiden kiinnittäminen, nykyaikaisten salaussarjapakettien käyttö, turvallinen ruoanlaitto ja turvattoman sisällön sekoittamisen välttäminen.
Ei ole mitään syytä, miksi Google ei voi hallinnoida omaa juurivarmentajaansa, sillä sillä on asiantuntemusta, kypsyyttä ja resursseja ylläpitää ylimmän tason viranomaista. Googlelle ei ole vieraita luotettavan varmentajan vaatimukset, sillä se on vuosien varrella myöntänyt TLS-varmenteita Google-verkkotunnuksille, ja yritys on ollut hyvin mukana CA / selainfoorumissa, jossa mainostetaan "Internetin korkeinta turvallisuustasoa", Doug kertoi. Beattie, varmentaja GlobalSign-varmentajasta. Google on "hyvin koulutettu siitä, mitä tarkoittaa olla CA", hän sanoi.
Google käynnisti myös varmenteiden läpinäkyvyyden, julkisen rekisterin luotettavista varmenteista, joita voidaan tarkastaa ja valvoa. Vaikka CT antoi alun perin Googlelle seurata, antako kukaan väärennettyjä Google-varmenteita, tämä tarkoittaa myös sitä, että kuka tahansa voi seurata minkä tyyppisiä varmenteita Google antaa. Läpinäkyvyys menee molempiin suuntiin.
Google sanoi, että siitä on tulossa juurivarmentaja, jotta se voi virallisesti ilmoittaa, mitkä palvelut ja tuotteet ovat Google. Root CA: ksi tuleminen ei tarkoita sitä, että Google antaa varmenteita muille kuin Googlen osapuolille. Jos näin tapahtuu, kannattaa palata keskustelemaan siitä, käyttääkö Google hyväkseen epäoikeudenmukaisesti Internet-infrastruktuurin valtavaa valvontaa. Siihen asti kaikki Google tekee sanomalla, että se on Google.
