11章ケーススタディ:パブリックに信頼できるCAの設計・実装・維持
執筆:Andy Warner、James Kasten、Rob Smits、Piotr Kucharski、Sergey Simakov
SRE、開発者、管理者は、暗号化や認証に用いる証明書を取得したり、VPNやコード署名などの機能を処理したりするために、認証局(certificate authority = CA)とのやり取りが必要になることがあります。このケーススタディでは、本書で取り上げられているベストプラクティスを用いてパブリックに信頼できるCAの設計、実装、維持に活用しているGoogleの取り組みに注目します。この取り組みの判断基準となったのは、スケーラビリティに関する社内のニーズ、コンプライアンスの要件、セキュリティと信頼性の要件でした。
11.1 パブリックに信頼できるCAに関する予備知識
パブリックに信頼できる認証局は、TLS†1、S/MIME†2、その他の一般的な分散トラストのシナリオに対して証明書を発行することにより、インターネットのトランスポート層に関するトラストアンカー(trust anchor)として機能します。これは、ブラウザ、オペレーティングシステム、デバイスがデフォルトで信頼するCAのセットです。そのため、パブリックに信頼できるCAを記述および維持するにあたっては、セキュリティと信頼性に関して多くの考慮事項が発生します。
†1 TLS(Transport Layer Security)の最新バージョンは、RFC 8446(https://oreil.ly/dB0au)に記述されています。
†2 S/MIME(Secure/Multipurpose Internet ...
Get セキュアで信頼性のあるシステム構築 ―Google SREが考える安全なシステムの設計、実装、保守 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
