Google pindah ke bisnis Otoritas Sertifikat

Google telah meluncurkan Otoritas Sertifikat (CA) dasarnya sendiri, yang memungkinkan perusahaan menerbitkan sertifikat digital untuk produknya sendiri dan tidak harus bergantung pada CA pihak ketiga dalam upayanya untuk menerapkan HTTPS di semua Google.

Sejauh ini, Google telah beroperasi sebagai CA bawahannya sendiri (GIAG2) dengan sertifikat keamanan yang dikeluarkan oleh pihak ketiga. Perusahaan akan melanjutkan hubungan pihak ketiga bahkan saat meluncurkan HTTPS di seluruh produk dan layanannya menggunakan CA root-nya sendiri, kata Ryan Hurst, manajer di grup Teknik Keamanan dan Privasi Google. Google Trust Services akan mengoperasikan root CA untuk Google dan perusahaan induknya, Alphabet.

Ini hanya masalah waktu, karena raksasa internet itu sepertinya sudah bosan dengan berbagai otoritas yang keliru menerbitkan sertifikat Google yang salah / tidak valid. GlobalSign mengalami masalah saat mencabut sertifikat musim gugur lalu yang memengaruhi ketersediaan beberapa properti web, dan pembuat browser utama yang dipimpin oleh Mozilla memutuskan untuk mencabut kepercayaan pada sertifikat WoSign / StartComm karena pelanggaran praktik industri. Symantec telah dipanggil untuk berulang kali membuat sertifikat yang tidak diizinkan, kemudian secara tidak sengaja membocorkannya ke luar lingkungan pengujian perusahaan. Sekarang, Google dapat menerbitkan sertifikat Google yang dapat diverifikasi, membebaskan perusahaan dari sistem otoritas sertifikat lama.

Untuk memulai perpindahan ke infrastruktur independen, Google membeli dua Otoritas Sertifikat Root, GlobalSign R2 (GS Root R2) dan R4 (GS Root R4). Perlu beberapa saat untuk menyematkan sertifikat dasar ke dalam produk dan agar versi terkait dapat diterapkan secara luas, jadi membeli CA root yang ada membantu Google mulai menerbitkan sertifikat secara independen lebih cepat, kata Hurst.

Layanan Kepercayaan Google akan mengoperasikan enam sertifikat dasar: GTS Root R1, GTS Root R2, GTS Root 3, GTS Root 4, GS Root R2, dan GS Root R4. Semua root GTS berakhir pada 2036, sedangkan GS Root R2 berakhir pada 2021 dan GS Root R4 pada 2038. Google juga akan dapat menandatangani silang CA-nya, menggunakan GS Root R3 dan GeoTrust, untuk meringankan potensi masalah waktu saat menyiapkan root CAs.

"Google menyimpan contoh file PEM di (//pki.goog/roots.pem) yang diperbarui secara berkala untuk menyertakan root yang dimiliki dan dioperasikan oleh Google Trust Services serta root lain yang mungkin diperlukan sekarang, atau di masa mendatang untuk berkomunikasi dengan dan menggunakan Produk dan Layanan Google, "kata Hurst.

Pengembang yang mengerjakan kode yang dirancang untuk terhubung ke layanan web atau produk Google harus merencanakan untuk menyertakan "minimal" sertifikat dasar yang dioperasikan oleh Google sebagai yang tepercaya, tetapi cobalah untuk mempertahankan "kumpulan akar yang dapat dipercaya yang luas," yang mencakup, tetapi merupakan tidak terbatas pada yang ditawarkan melalui Layanan Kepercayaan Google, kata Hurst.

Dalam hal bekerja dengan sertifikat dan TLS, ada praktik terbaik tertentu yang harus diikuti semua pengembang, seperti keamanan pengangkutan yang ketat (HSTS), penyematan sertifikat, menggunakan paket penyandian enkripsi modern, memasak aman, dan menghindari pencampuran konten yang tidak aman.

Tidak ada alasan mengapa Google tidak dapat mengelola CA root-nya sendiri, karena Google memiliki keahlian, kematangan, dan sumber daya untuk mengoperasikan otoritas tingkat atas. Google tidak asing dengan persyaratan CA tepercaya, yang telah menerbitkan sertifikat TLS untuk domain Google selama bertahun-tahun, dan perusahaan tersebut sangat terlibat dalam CA / Forum Browser yang mempromosikan "tingkat keamanan tertinggi untuk internet", kata Doug Beattie, wakil presiden di otoritas sertifikat GlobalSign. Google "terdidik dengan baik tentang apa artinya menjadi CA," katanya.

Google juga meluncurkan Transparansi Sertifikat, daftar publik dari sertifikat tepercaya yang dapat diaudit dan dipantau. Meskipun CT awalnya mengizinkan Google untuk mengawasi apakah ada orang yang menerbitkan sertifikat Google palsu, ini juga berarti siapa pun dapat mengawasi jenis sertifikat yang diterbitkan Google. Transparansi berjalan dua arah.

Meskipun demikian, Google menjadi CA root sehingga dapat secara resmi menyatakan layanan dan produk mana yang merupakan Google. Menjadi CA root tidak berarti Google akan menerbitkan sertifikat kepada pihak non-Google. Jika ya, maka ada baiknya membahas kembali apakah Google memanfaatkan kendali masifnya atas infrastruktur internet secara tidak adil. Sampai saat itu, yang dilakukan Google hanyalah mengatakan itu adalah Google.