A Media CDN oferece suporte de primeira classe para veicular tráfego criptografado por TLS (HTTPS) do seu próprio nome de domínio, além de suporte para solicitações assinadas. A Media CDN é veiculada do seu próprio domínio (Bring-Your-Own ou domínio BYO) e não precisa ser veiculada de um domínio hospedado pelo Google.
- Não há cobranças adicionais associadas à veiculação de tráfego SSL (TLS) ou à obtenção de certificados gerenciados pelo Google: proteger o tráfego do usuário final não deve ser caro.
- A Media CDN é compatível com certificados gerenciados pelo Google, permitindo que o Google gerencie a rotação, as chaves e a distribuição segura para milhares de nós de borda, além de certificados autogerenciados (enviados).
- Cada serviço pode aceitar até cinco certificados SSL.
- Cada certificado gerenciado pode ter até 100 nomes (nomes alternativos do assunto).
Recomendamos veicular seu serviço de cache de borda de nomes de host (subdomínios) dedicados e usar certificados gerenciados separados para seus domínios de mídia como uma boa prática de segurança.
Criar e emitir certificados
Para validar, emitir e anexar um certificado SSL (TLS) gerenciado a um serviço da Media CDN, consulte Como configurar certificados SSL.
Tipos de certificado
A Media CDN é compatível com dois tipos de certificados:
- Certificados gerenciados, que o Google pode provisionar em seu nome para nomes de domínio que você possui. Não é necessário ter chaves seguras, e os certificados são renovados automaticamente.
- Certificados autogerenciados, que você envia diretamente para o Certificate Manager. Você é responsável por fazer upload de um certificado válido e publicamente confiável, além de substituí-lo antes do vencimento.
Como os certificados gerenciados podem ser autorizados e emitidos antes de direcionar o tráfego para a Media CDN, é possível provisionar certificados antes de transferir o tráfego de produção e evitar tempo de inatividade.
Em alguns casos, como quando você precisa de fixação de chaves em aplicativos móveis ou suporte para dispositivos legados com repositórios de confiança desatualizados, talvez seja necessário usar certificados autogerenciados. Também é possível usar certificados gerenciados e autogerenciados no mesmo serviço se você tiver nomes de domínio (hosts) específicos que exigem certificados autogerenciados.
Autorização da emissão de certificados
Com a autorização de DNS, é possível verificar a propriedade do domínio e provisionar certificados gerenciados pelo Google antes mesmo de o ambiente de produção estar totalmente configurado. Isso é particularmente útil ao migrar certificados para o Google Cloud.
O Certificate Manager verifica a propriedade do domínio usando registros DNS. Cada autorização de DNS armazena informações sobre um registro DNS e abrange um único domínio e o curinga dele (por exemplo, myorg.example.com e *.myorg.example.com). Um curinga abrange apenas o primeiro nível de subdomínio, não os níveis mais profundos. Por exemplo, *.myorg.example.com não cobre
sub.subdomain.myorg.example.com.
Ao criar um certificado gerenciado pelo Google, é possível usar uma ou mais autorizações de DNS para provisionar e renovar certificados. Se você tiver vários certificados para um único domínio, use a mesma autorização de DNS para todos eles. No entanto, as autorizações de DNS precisam abranger todos os domínios listados no certificado. Caso contrário, a criação e a renovação de certificados vão falhar.
Para configurar a autorização de DNS, adicione um registro CNAME à sua configuração de DNS. Você pode usar esse registro para validar o subdomínio no seu
domínio de destino. O registro CNAME aponta para um domínio especial Google Cloud que o Certificate Manager usa para verificar a propriedade do domínio.
Ao criar uma autorização de DNS, o Gerenciador de certificados retorna
esse registro CNAME e verifica sua propriedade.
Não se esqueça de que o registro CNAME também concede ao Gerenciador de certificados
a permissão para provisionar e renovar certificados para o domínio de destino no seu
projetoGoogle Cloud . Para revogar essas permissões, remova o registro CNAME da configuração de DNS.
Autorização de DNS por projeto
Com a autorização de DNS por projeto, é possível gerenciar certificados de forma independente em cada projeto Google Cloud . Com a autorização de DNS por projeto, o Certificate Manager pode emitir e processar certificados para cada projeto separadamente. As autorizações e os certificados de DNS usados em um projeto são independentes e não interagem com artefatos de outros projetos.
Para ativar a autorização de DNS por projeto, escolha a opção PER_PROJECT_RECORD ao criar uma autorização de DNS. Você vai receber um registro CNAME
exclusivo que inclui um subdomínio e uma meta específica para esse projeto.
Adicione esse registro CNAME à zona de DNS do domínio relevante.
Vários domínios por certificado
Com os certificados emitidos pelo Certificate Manager, é possível especificar vários nomes de domínio (nomes de host) no mesmo certificado como Nomes alternativos do assunto.
É possível adicionar vários domínios a um certificado especificando uma lista de domínios ao criar um certificado, bem como as autorizações correspondentes necessárias.
Cada autorização abrange apenas o domínio exato (por exemplo,
video.example.com) e o caractere curinga (*.example.com), não subdomínios
explícitos. Se você quiser um certificado para eu.video.example.com, por
exemplo, configure outra autorização de DNS para o
domínio eu.video.example.com.
Os exemplos a seguir mostram como anexar uma autorização para
video.example.com e eu.video.example.com:
gcloud
Use o comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Isso cria um certificado com a autorização DNS no estado AUTHORIZING e o certificado no estado PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Os domínios não podem compartilhar uma autorização de DNS. É necessário especificar vários domínios e autorizações. O Certificate Manager determina quais domínios exigem quais autorizações.
Para saber como os certificados são emitidos e ativados, consulte Configurar certificados SSL (TLS).
Renovação de certificado
Os certificados gerenciados são renovados automaticamente pelo Gerenciador de certificados. Os certificados renovados são enviados automaticamente para a borda global do Google em cada serviço ativo configurado.
- Os certificados
EDGE_CACHEtêm um período de validade curto (30 dias) para melhorar a segurança e a conformidade, em comparação com o padrão atual do setor de 90 dias (com um intervalo de renovação de 60 dias). - A renovação geralmente é iniciada quando faltam 10 dias para a expiração.
- Não é necessário fazer nada quando um certificado é renovado. O novo certificado substitui automaticamente o certificado atual antes da data de expiração, sem afetar o trânsito em tempo real.
Como o pipeline de emissão revalida o controle do domínio antes da renovação, não exclua os registros DNS configurados para autorização de DNS. Excluir o registro usado para demonstrar a DCV (validação de controle de domínio) impede a renovação dos certificados e impede que os clientes se conectem por HTTPS (TLS) quando o certificado expira.
Registros e raízes de CAA
Para verificar a compatibilidade com dispositivos clientes, incluindo smart TVs, smartphones e boxes de streaming mais antigos, confira o conjunto completo de CAs raiz que o Google usa em pki.goog.
Para permitir que o Certificate Manager e a Media CDN emitam certificados para um domínio com registros CAA atuais, adicione o registro CAA pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Os domínios que não têm registros CAA não precisam adicionar esse registro, mas recomendamos como prática recomendada.
Leia mais sobre registros CAA.
Limites de certificado
É possível emitir até 1.000 certificados gerenciados e 1.000 autorizações de DNS por projeto. Para outros limites e cotas relacionados, consulte a documentação Cotas e limites .
Versões compatíveis do TLS
A Media CDN é compatível com as seguintes versões do TLS:
| Versão do TLS | Com suporte | Cifras incluídas |
|---|---|---|
| SSL 3.0 | Não | Indisponível |
| TLS 1.0 | Não | Indisponível |
| TLS 1.1 | Não | Indisponível |
| TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Além disso:
- Os dispositivos que não são compatíveis com versões modernas do TLS (como TLS 1.3) negociam automaticamente uma versão compatível do TLS.
- O TLS 1.2 é a versão mínima compatível com a Media CDN.
- A Media CDN não permite anexar políticas de SSL a um serviço.
Resolver problemas de emissão de certificados
Se você tiver erros na emissão de certificados, saiba como resolver problemas de emissão de certificados.
A seguir
- Leia Configurar certificados SSL.
- Entenda a conectividade do cliente e o suporte a protocolos.
- Revise como as conexões SSL (TLS) são feitas com suas origens.