Najczęstsze pytania o migrację urzędu certyfikacji w Google Maps Platform

Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.

Niniejszy dokument obejmuje następujące sekcje:

Bardziej szczegółowe informacje o trwającej migracji głównego urzędu certyfikacji Google znajdziesz w artykule Co się dzieje?.

Terminologia

Poniżej przygotowaliśmy listę najważniejszych terminów, które musisz znać. Bardziej szczegółowe informacje o powiązanej terminologii znajdziesz w odpowiedziach na najczęstsze pytania dotyczące usług zaufania dla Google.

Certyfikat SSL/TLS
Certyfikat wiąże klucz kryptograficzny z tożsamością.
Certyfikaty SSL/TLS służą do uwierzytelniania i nawiązywania bezpiecznych połączeń ze stronami internetowymi. Certyfikaty są wystawiane i podpisywane kryptografią przez urzędy certyfikacji.
Przeglądarki korzystają z certyfikatów wystawionych przez zaufane urzędy certyfikacji, aby mieć pewność, że przesyłane informacje są wysyłane do odpowiedniego serwera i są zaszyfrowane podczas przesyłania.
Protokół SSL (Secure Sockets Layer)
Protokół Secure Sockets Layer był najpowszechniejszym protokołem używanym do szyfrowania komunikacji internetowej. Protokół SSL nie jest już uważany za bezpieczny i nie należy go używać.
Protokół TLS (Transport Layer Security)
Transport Layer Security jest następcą protokołu SSL.
Urząd certyfikacji
Urząd certyfikacji przypomina cyfrowe paszporty dla urządzeń i osób. Wystawia on kryptograficznie chronione dokumenty (certyfikaty), aby potwierdzić, że podmiot (np. witryna) podaje się za podmiot, do którego się podaje.
Przed wystawieniem certyfikatu urzędy certyfikacji muszą sprawdzać, czy nazwy w certyfikacie są powiązane z osobą lub podmiotem, które go zażądają.
Termin „urząd certyfikacji” może odnosić się do organizacji (np. usług zaufania Google) oraz systemów wystawiających certyfikaty.
Magazyn certyfikatów głównych
Główny katalog certyfikatów zawiera zestaw urzędów certyfikacji zaufanych przez dostawcę oprogramowania aplikacji. Większość przeglądarek i systemów operacyjnych ma własny magazyn głównych certyfikatów.
Aby certyfikat CA został uwzględniony w katalogu głównym certyfikatów, musi spełniać rygorystyczne wymagania określone przez dostawcę oprogramowania.
Zazwyczaj dotyczy to zgodności ze standardami branżowymi, takimi jak wymagania urzędu certyfikacji lub forum.
Główny urząd certyfikacji
Urząd certyfikacji głównego (lub jego certyfikat) to najwyższy certyfikat w łańcuchu certyfikatów.
Certyfikaty głównego urzędu certyfikacji są zwykle podpisywane samodzielnie. Klucze prywatne powiązane z nimi są przechowywane w wysoce bezpiecznych obiektach i przechowywane w trybie offline, aby chronić je przed nieuprawnionym dostępem.
Pośrednik urzędu certyfikacji
Urząd certyfikacji pośredniczącego (lub większy, jego certyfikat) to certyfikat, który jest używany do podpisywania innych certyfikatów w łańcuchu certyfikatów.
Pośrednie urzędy certyfikacji służą do włączania wystawiania certyfikatów online, a jednocześnie certyfikat główny urzędu certyfikacji pozostają offline.
Pośrednie urzędy certyfikacji są też nazywane podrzędnymi urzędami certyfikacji.
Urząd certyfikacji
Certyfikat wystawiany przez urząd certyfikacji to certyfikat, który służy do podpisywania najwyższego certyfikatu w łańcuchu certyfikatów.
Ten najniższy certyfikat jest często określany jako certyfikat subskrybenta, certyfikat jednostki końcowej lub certyfikat liścia. W tym dokumencie użyjemy też terminu serwer certyfikatu.
Łańcuch certyfikatów
Certyfikaty są połączone (z kryptografią) przez wydawcę karty. Łańcuch certyfikatów składa się z certyfikatu liścia, wszystkich certyfikatów wydawcy i certyfikatu głównego.
Podpisywanie
Dostawcy oprogramowania aplikacji; klienci muszą zaktualizować swój główny sklep z certyfikatami, aby mogli zaufać swoim produktom. Udostępnienie produktów z nowymi certyfikatami CA przez pewien czas nie będzie możliwe.
Aby zwiększyć zgodność ze starszymi klientami, certyfikaty CA mogą być pochodzące z innego starszego urzędu certyfikacji. W ten sposób powstaje drugi certyfikat CA dla tej samej tożsamości (nazwa & para kluczy).
W zależności od urzędów certyfikacji uwzględnionych w głównym katalogu klientów klienty będą budować różne łańcuchy certyfikatów do poziomu głównego, który ufa im.

Informacje ogólne

Co się dzieje?

Koncepcja

W 2017 roku rozpoczęliśmy wieloletni projekt wystawiania i używania własnych certyfikatów głównych, czyli podpisów kryptograficznych opartych na protokole TLS używanych przez HTTPS.

Po pierwszym etapie zabezpieczenia TLS w usługach Google Maps Platform zostały gwarantowane przez organizację GS Root R2, powszechnie znaną i zaufaną urzędę certyfikacji Google, która została przejęta przez GMO GlobalSign w celu ułatwienia przejścia na nasz własny główny urząd certyfikacji Google Trust Services (GTS).

Praktycznie wszystkie klienty TLS (takie jak przeglądarki internetowe, smartfony i serwery aplikacji) ufały temu certyfikatowi głównemu, dlatego na pierwszym etapie migracji udało się nawiązać bezpieczne połączenie z serwerami Google Maps Platform.

Urząd certyfikacji nie może jednak wystawiać certyfikatów, które są ważne po wygaśnięciu własnego certyfikatu. 15 grudnia 2021 r. Google Ads Root R2 utworzy nowe usługi dla nowego urzędu certyfikacji GTS Root R1 Cross, korzystając z certyfikatu wystawionego przez własny główny urząd certyfikacji GTS Root R1.

Chociaż znaczna większość nowoczesnych systemów operacyjnych i bibliotek klientów TLS ufa już głównym urzędom certyfikacji GTS, aby zapewnić bezproblemowe działanie większości starszych systemów, firma Google pozyskała też tag GMO GlobalSign przy użyciu głównego urzędu certyfikacji GlobalSign – R1, jednego z najstarszych i zaufanych zaufania głównych urzędów certyfikacji.

Dlatego większość klientów Google Maps Platform rozpozna już niektóre z tych zaufanych urzędów certyfikacji (lub obu z nich) i nie będzie to miało wpływu na drugą fazę migracji.

Dotyczy to też klientów, którzy w pierwszej fazie migracji w 2018 roku podejmowali działania, zakładając, że wykonali oni nasze instrukcje, instalując wszystkie certyfikaty z zaufanego pakietu głównego urzędu certyfikacji Google.

Zweryfikuj swoje systemy, jeśli:

  • Twoje usługi korzystają z niestandardowych lub starszych platform lub utrzymujesz własny magazyn certyfikatów głównych.
  • w pierwszej fazie migracji głównego urzędu certyfikacji Google nie udało Ci się wykonać żadnych działań lub nie zainstalowano pełnego zestawu certyfikatów z zaufanego pakietu głównego urzędu certyfikacji Google.

Aby powyższe usługi mogły działać bez zakłóceń, w tym czasie Twoi klienci mogą zaktualizować zalecane certyfikaty główne, aby zapewnić nieprzerwany dostęp do Google Maps Platform.

Więcej szczegółów technicznych znajdziesz poniżej. Ogólne instrukcje znajdziesz w sekcji Jak sprawdzić, czy mój katalog certyfikatów głównych wymaga aktualizacji.

Zalecamy też synchronizowanie sklepów głównych certyfikatów z wybranym pakietem głównym CA, aby chronić usługi przed przyszłymi zmianami tego urzędu. Ogłosimy to z wyprzedzeniem. Zajrzyj do sekcji Jak otrzymywać aktualizacje na tym etapie migracji? i Jak otrzymywać powiadomienia o przyszłych migracji, aby dowiedzieć się więcej.

Podsumowanie techniczne

jak informowaliśmy 15 marca 2021 r. na blogu Google Security, GS Root R2, główny urząd certyfikacji Google Maps Platform używany od początku 2018 r. wygaśnie 15 grudnia 2021 r. W tym roku Google przeniesie dane do nowego urzędu GTS Root R1. Oznacza to, że nasze usługi będą stopniowo przechodzić na certyfikaty liściowe TLS wystawione przez ten nowy urząd certyfikacji.

Prawie wszystkie nowoczesne klienty i systemy TLS są wstępnie skonfigurowane za pomocą certyfikatu GTS Root R1 lub powinny być odbierane przez normalne aktualizacje oprogramowania, a GlobalSign Root CA - R1 powinien być też dostępny w przypadku starszych systemów.

Musisz jednak sprawdzić swoje systemy przynajmniej w tych przypadkach:

  • Twoje usługi działają na niestandardowych lub starszych platformach albo utrzymujesz własny sklep z certyfikatami głównymi
  • w pierwszej fazie migracji głównego urzędu certyfikacji Google nie udało Ci się wykonać żadnych działań lub nie zainstalowano pełnego zestawu certyfikatów z zaufanego pakietu głównego urzędu certyfikacji Google.

Sekcja Jak sprawdzić, czy sklep z certyfikatami głównymi wymaga aktualizacji zawiera ogólne wskazówki dotyczące testowania systemu.

Aby uzyskać szczegółowe informacje, zapoznaj się z pytaniem Dlaczego warto przechowywać certyfikaty główne w zaufanym pakiecie głównym urzędu certyfikacji Google?.

Jak mogę otrzymywać aktualizacje na tym etapie migracji?

Oznacz gwiazdką publiczny numer 186840968. Te najczęściej zadawane pytania są też aktualizowane w trakcie procesu migracji.

Jak mogę otrzymywać powiadomienia o przyszłych migracji?

Sugerujemy przestrzeganie bloga o bezpieczeństwie Google. Postaramy się jak najszybciej zaktualizować dokumentację dotyczącą poszczególnych produktów, ogłoszając ją na blogu.

Zasubskrybuj też Powiadomienia Google Maps Platform, ponieważ regularnie publikujemy na forum informacje o zmianach, które mogą dotyczyć większej liczby klientów.

Korzystamy z wielu usług Google. Czy migracja głównego urzędu certyfikacji ma wpływ na wszystkie te kwestie?

Tak, migracja głównego urzędu certyfikacji będzie miała miejsce we wszystkich usługach i interfejsach API Google, ale oś czasu może różnić się w zależności od usługi. Gdy jednak upewnisz się, że główne certyfikaty używane przez Twoje aplikacje klienckie Google Maps Platform zawierają wszystkie urzędy certyfikacji wymienione w zaufanym pakiecie głównym Google Cloud. Nie będzie to miało wpływu na Twoje usługi, a synchronizacja ich zabezpieczy Cię przed przyszłymi zmianami tego urzędu.

Zobacz pytania Dlaczego warto utrzymywać synchronizację certyfikatów głównych z zaufanym pakietem głównym Google? i analizować aplikacje, które mogą zostać uszkodzone?, aby uzyskać więcej informacji.

Poniżej znajdziesz też instrukcje sprawdzania, czy sklep z certyfikatami głównymi wymaga aktualizacji.

Jak sprawdzić, czy mój sklep z certyfikatami głównym wymaga aktualizacji

Przetestuj środowisko aplikacji pod kątem testowych punktów końcowych wymienionych poniżej:

  • Jeśli możesz nawiązać połączenie TLS z punktem końcowym GTS root R1 Cross-test, nie powinno to mieć wpływu na ważność klucza głównego R2 zespołu GS.
  • Jeśli możesz nawiązać połączenie TLS z testowym punktem końcowym GTS R1, Twoja aplikacja prawdopodobnie zostanie chroniona po wygaśnięciu GTS Root R1 Cross i GlobalSign Root CA - R1 w 2028 roku.

Twój system będzie ogólnie zgodny z tą zmianą głównego urzędu certyfikacji, jeśli:

  • Usługa działa w utrzymywanym na rynku popularnym systemie operacyjnym, a Ty masz dostęp zarówno do systemu operacyjnego, jak i bibliotek, z których korzysta poprawka, i nie przechowujesz własnego magazynu głównych certyfikatów lub
  • postępujesz zgodnie z naszymi wcześniejszymi zaleceniami, by zainstalować wszystkie główne urzędy certyfikacji z zaufanego pakietu głównego urzędu certyfikacji Google.