Google start eigen root-certificaatautoriteit

Abonneer je gratis op Techzine!

Google beschikte al over een eigen certificaatautoriteit, (GIAG2), deze certificaten werden door een derde partij uiteindelijk verstrekt. Hiermee beschikte Google al over de mogelijkheid om snel te voorzien in SSL-certificaten wanneer deze nodig zijn voor Google-producten. Het bedrijf heeft nu besloten om dit nog beter aan te pakken door een root-certificaatautoriteit te worden.

Om een root-certificaatautoriteit te worden moet je een heel proces doorlopen en moeten bijvoorbeeld alle browser-ontwikkelaars je erkennen en opnemen in hun software, pas dan werken de uitgegeven certificaten volledig. Dit is een traag proces waar veel tijd in gaat zitten, tijd die Google kennelijk niet heeft of niet wil wachten en daarom heeft het besloten om twee root certificaatautoriteiten te kopen, GlobalSign R2 en GlobalSign R4 zijn door Google per direct ingelijfd.

Google laat op zijn blog weten het bedrijf Google Trust Services te hebben opgericht om het beheer over alle root-certificaatautoriteiten te doen. Dit bedrijfsonderdeel van Google zal alle certificaten gaan verstrekken voor Google en Alphabet. Het bedrijf stelt dat het ook gewoon GIAG2 zal blijven gebruiken, waarschijnlijk omdat deze certificaatautoriteit verwerkt zit in de bedrijfsprocessen van Google. Wel zal Google op termijn alles migreren naar zijn eigen rootcertficaten.

Google heeft een aantal root-certificaten opgezet die op termijn door alle bedrijven ondersteund moeten gaan worden. Zo is er GTS Root R1, GTS Root R2, GTS Root R3, GTS Root R4, GS Root R2 en GS Root R4. Waarbij de laatste twee per direct zijn overgenomen van GlobalSign en dus al erkend worden door derde partijen. Omdat de GTS root-certificaatautoriteiten nog niet worden erkend heeft Google geregeld dat deze ook worden uitgegeven door GS Root R3 van GlobalSign en GeoTrust, dit noemt met crosssignen en hierdoor werken de certificaten per direct.

Grote vraag is natuurlijk of Google op termijn ook certificaten aan derden gaat vertrekken. Vorige week was in het nieuws dat Symantec opnieuw in de fout is gegaan met het uitgeven van certificaten zonder de toestemming van de domeinnaameigenaar. Later dit jaar gaat Google zelf in een aantal van zijn producten, waaronder Google Chrome, certificaatautoriteiten schrappen die neit meerwerken aan het Certificate Transperancy-beleid, waarmee aan de hand van openbare logbestanden de uitgave van certificaten kan worden gecontroleerd.