行业新闻与博客

在过去的几年中，我们发现网络上传输层安全性（TLS）的使用增加了 Chrome 浏览器在所有浏览器上看到的全部流量的 96％ Chrome 作业系统。正如我们的 Google 透明度报告所述，在短短四年内增长了 35％以上。无论您是 Web 开发人员，企业还是网民，这都是一项集体成就，使互联网成为每个人都更安全的地方。

Chrome 通过平台在 HTTPS 中通过 HTTPS 加载的页面百分比（Google 透明度报告）

TLS 的部署方式也已更改。公共证书的最大证书有效期已从 5年减少到 2年（CA / Browser 论坛），并且在不久的将来将降至 1年。为了减少由手动证书注册引起的中断次数，Internet 工程任务组（IETF）已标准化了自动证书管理环境（ACME）。ACME 使证书颁发机构（CA）能够以自动化且可互操作的方式为公共 Web 提供 TLS 证书。 

当我们结束对 TLS 近期历史的激动人心的旅程时，如果我们不提及 Let's Encrypt（第一个受公众信任的非营利性 CA），我们将不为所动。他们对自动化和默认 TLS 的关注是 TLS 使用大量增加的基础。实际上，Let's Encrypt 刚刚签发了他们的第 10 亿个（！）证书。Google 一直是 Let's Encrypt 的积极支持者，因为我们相信他们为使 TLS 可访问而所做的工作对于互联网基础设施的安全性和灵活性至关重要。保持摇摆，让我们加密！

简化 Google 用户的证书生命周期管理

这些是我们在安全界共同努力取得的重要进步。同时，这些努力意味着我们将使用寿命较短的密钥来提高安全性，而这反过来又需要更频繁地更新证书。此外，基础架构部署变得越来越异构。Web 流量通常由不同的提供商从多个数据中心提供。这使得难以手动保留需要更新证书的选项卡，并确保正确部署新证书。那么前进的方向是什么？ 

通过上面引用的采用数字，很明显，TLS，Web PKI 和证书生命周期管理是我们和客户构建和部署的每个产品的基础。这就是为什么我们一直在加大努力以在默认情况下为我们的产品和服务启用 TLS，同时还自动进行证书更新以使证书生命周期管理更可靠，全球可扩展且对客户值得信赖的原因。我们的目标很简单：无论您使用哪种 Google 服务，我们都希望确保 TLS 开箱即用。

为了实现该目标，我们已使用仅限内部使用的 ACME 服务 Google Trust Services 为 Google 服务启用了 TLS 证书的自动管理。这适用于我们自己的产品和服务，以及适用于 Alphabet 和 Google Cloud 的客户。因此，我们的用户不再需要担心证书过期之类的事情，因为我们会自动为客户刷新证书。一些实现重点包括：

现在，默认情况下，所有 Blogger 博客，Google 站点和 Google 我的商家站点的自定义域都将使用 HTTPS。

Google Cloud 客户可以在其域中享受 Managed TLS 的好处。所以：

使用 Firebase，Cloud Run 和 AppEngine 构建的开发人员会自动为其应用程序获取 HTTPS。

当使用 Google Kubernetes Engine 或在 Google Cloud Load Balancing（GCLB）后面部署应用程序时，如果客户选择使用 Google 托管的证书，则要进行证书管理。这也使 TLS 与这些产品一起使用变得容易且可靠。

性能，可伸缩性和可靠性是 Google 服务的基本要求。我们已经建立了自己的公共信任的 CA，即 Google Trust Services，以确保我们能够满足我们产品和服务的那些标准。同时，我们相信用户的选择。因此，即使我们使您可以更轻松地使用 Google Trust Services，我们也使跨 Google 的所有产品和服务都可以使用 Let's Encrypt。通过创建表明您的偏好的 CAA 记录，可以轻松做出此选择。

尽管每个人都喜欢 TLS 开箱即用，但我们也知道高级用户有特殊需求。这就是为什么我们在 Google Cloud Load Balancing 中提供了丰富的功能，以便客户控制有关 TLS 终止的策略的原因。 

此外，通过与其他组织合作开展的证书透明性工作，我们通过监视 WebPKI 生态系统中针对其域或与域相似的证书颁发的证书，使客户更容易保护其及其客户的品牌。 ，因此他们可以采取积极措施来阻止任何滥用，以免成为问题。例如，Facebook 使用证书透明日志来捕获许多试图假冒其服务的网络钓鱼网站。 

我们认识到安全性，私密性和可靠性对您而言至关重要，因此我们一直在投资于我们的产品组合，以确保在使用 TLS 时，您可以放心地部署所需的工具。展望未来，我们期待与您建立长期合作伙伴关系，以使互联网更加安全。

本文由机器译制