Google Maps Platform 根 CA 迁移常见问题解答

本文档包含以下几个部分:

如需详细了解持续不断的 Google 根 CA 迁移,请参阅“发生了什么?”部分。

术语

我们在下方列出了本文涉及的最重要的术语,您需要熟悉这些术语。如需更全面地了解相关术语,请参阅 Google Trust Services 常见问题解答

SSL/TLS 证书
证书会将加密密钥绑定到某一身份。
SSL/TLS 证书用于验证身份以及建立与网站之间的安全连接。证书由称为证书授权机构的实体颁发并采用加密签名。
浏览器通过受信任的证书授权机构颁发的证书确保将信息传输到相应服务器且传输时已加密。
安全套接字层 (SSL)
安全套接字层是部署最广泛的一种协议,用于加密互联网通信。SSL 协议已不安全,应停止使用。
传输层安全协议 (TLS)
传输层安全协议的前身是 SSL。
证书授权机构 (CA)
证书授权机构就像是设备和人员的数字护照办公室。它会颁发受加密保护的文档(证书),以证明某实体(例如网站)是其自称的身份。
在颁发证书之前,CA 需要确认证书中的名称与请求证书的人员或实体相关联。
“证书授权机构”可指 Google Trust Services 等机构以及颁发证书的系统。
根证书存储区
根证书存储区包含一组受应用软件供应商信任的证书授权机构。大多数网络浏览器和操作系统都有其根证书存储区。
要纳入根证书存储区,证书授权机构必须满足应用软件供应商规定的严格要求。
通常包括遵守 CA/浏览器论坛要求等行业标准。
根证书授权机构
根证书授权机构(更确切地说是其证书)是证书链中位于顶层的证书。
根 CA 证书通常是自签名证书。与其关联的私钥存储在高度安全的设施中,且在离线状态下维护,以防止遭到未经授权的访问。
中间证书授权机构
中间证书授权机构(更确切地说是其证书)用于为证书链中的其他证书签名。
中间 CA 主要用于在根 CA 证书保持离线状态时实现证书的在线颁发。
中间 CA 也称为“从属 CA”。
颁发证书的证书授权机构
颁发证书的证书授权机构(更确切地说是其证书)用于为证书链中的最底层证书进行签名。
最底层的证书通常称为订阅者证书、最终实体证书或叶证书。在本文档中,我们还会用到“服务器证书”一词。
证书链
证书与其颁发机构相关联(以加密方式签名)。证书链由叶证书、其所有颁发机构证书和根证书组成。
交叉签名
应用软件供应商的客户端必须更新其根证书存储区,以包含其产品所信任的新 CA 证书。包含新 CA 证书的产品需要一段时间才能得到广泛使用。
为提升与旧版客户端的兼容性,CA 证书可由另一个创建时间较早的 CA“交叉签名”。这样可以有效地为同一身份(名称和密钥对)创建第二个 CA 证书。
根据根证书存储区中包含的 CA,客户端将构建不同的证书链,具体取决于其信任的根证书。

一般信息

发生了什么?

概览

2017 年,Google 开始了一个持续多年的项目,旨在颁发并使用自己的根证书,即加密签名,这是 HTTPS 使用的 TLS 互联网安全性的基础。

第一阶段结束后,Google Maps Platform 服务的 TLS 安全性得到了 GS Root R2 的保证,GS Root R2 是 Google 从 GMO GlobalSign 收购的一个非常知名且广受信任的根证书授权机构 (CA),可让 Google 轻松过渡到自己的自签名 Google Trust Services (GTS) 根 CA。

实际上所有 TLS 客户端(例如网络浏览器、智能手机和应用服务器)都信任此根证书,因此能够在迁移过程的第一阶段建立与 Google Maps Platform 服务器的安全连接。

不过,CA 可以设计而非颁发证书,且证书的有效时间早于其证书的过期时间。GS Root R2 将于 2021 年 12 月 15 日到期,因此 Google 将使用自己的根证书授权机构 GTS Root R1 颁发的证书将其服务迁移到新的证书授权机构 GTS Root R1 Cross。

虽然绝大多数现代操作系统和 TLS 客户端库都已信任 GTS 根 CA,但为确保大多数旧版系统都能顺利完成过渡,Google 从 GMO GlobalSign 收购了 GlobalSign Root CA - R1(目前最早且最受信任的根 CA),实现了交叉签名。

因此,大多数客户的 Google Maps Platform 客户端已可以识别其中一个受信任的根 CA,或已可全部识别,因此完全不受迁移过程中第二阶段的影响。

这一点也适用于在 2018 年迁移过程的第一阶段采取措施的客户,他们当时应该已按照我们的说明通过我们的受信任的 Google 根 CA 文件包安装所有证书。

您应在以下情况下验证系统:

  • 您的服务在非标准平台或旧版平台上运行,且/或您自行维护根证书存储区
  • 您在 2017 至 2018 年的 Google 根 CA 迁移过程的第一阶段未采取任何措施,或者您未安装受信任的 Google 根 CA 文件包中的一整套证书

如果符合上述情况,您可能需要通过建议的根证书对客户端进行更新,以在迁移过程的这一阶段确保 Google Maps Platform 的使用不会中断。

如需了解更多技术详情,请参阅下文。如需了解通用说明,请参阅如何验证我的根证书存储区是否需要更新部分。

我们还建议您继续将根证书存储区与上述精选根 CA 文件包保持同步,以便证明您的服务日后能够适应根 CA 的变更。不过,相关变更会提前公布。如需进一步了解如何掌握最新动态,请参阅"如何接收有关此迁移阶段的最新动态?"和"如何提前收到有关未来迁移的通知?"部分。

技术摘要

如 2021 年 3 月 15 日在 Google 安全博客上公布的内容所述,Google Maps Platform 自 2018 年初以来一直使用的根证书授权机构 GS Root R2 将于 2021 年 12 月 15 日到期。因此,Google 将在今年迁移到新的证书授权机构 GTS Root R1 Cross。这意味着我们的服务将逐步过渡到此新 CA 颁发的 TLS 叶证书。

几乎所有现代 TLS 客户端和系统都预先配置了 GTS Root R1 证书,或者已通过常规软件更新接受该证书,GlobalSign Root CA - R1 甚至在旧版系统上也可用。

不过,如果满足以下两个条件,您至少应验证您的系统:

  • 您的服务在非标准平台或旧版平台上运行,且/或您自行维护根证书存储区
  • 您在 2017 至 2018 年的 Google 根 CA 迁移过程的第一阶段未采取任何措施,或者您未安装受信任的 Google 根 CA 文件包中的一整套证书

如何验证我的根证书存储区是否需要更新部分提供了有关如何测试系统是否会受到影响的通用指导。

如需了解完整详情,请参阅问题为什么我应确保将根证书存储区与受信任的 Google 根 CA 文件包保持同步?

如何接收有关此迁移阶段的最新动态?

为公开问题 186840968 加注星标,以获取最新动态。在迁移过程中,每当我们遇到用户可能普遍感兴趣的主题时,都会相应更新此常见问题解答。

如何提前收到有关未来迁移的通知?

建议您关注 Google 安全博客。此外,我们还将尽快更新特定于产品的文档,具体请参阅该博客上的公告内容。

另请订阅 Google Maps Platform Notifications,因为我们会在该论坛上定期发布有关可能会对更多客户造成影响的变更的最新动态。

我们使用了多项 Google 服务。根 CA 迁移会影响所有这些服务吗?

会,所有 Google 服务和 API 都会进行根 CA 迁移,但具体的迁移时间可能因服务而异。但是,确认您的 Google Maps Platform 客户端应用使用的根证书存储区包含受信任的 Google 根 CA 文件包中列出的所有 CA 后,您的服务应该不会受到持续进行的迁移的影响,而且保持同步也有助于您日后适应根 CA 的变更。

请参阅问题为什么我应确保将根证书存储区与受信任的 Google 根 CA 文件包保持同步?哪些类型的应用有服务中断的风险?,了解更多实用信息。

下文中的如何验证我的根证书存储区是否需要更新部分提供了有关测试系统的通用说明。

如何验证我的根证书存储区是否需要更新

根据下面列出的测试端点测试您的应用环境:

  • 如果您能够与 GTS Root R1 Cross 测试端点建立 TLS 连接,说明您在 GS Root R2 到期后也不会受到影响。
  • 如果您能够与 GTS Root R1 测试端点建立与 TLS 连接,说明您的应用甚至可能在 2028 年 GTS Root R1 Cross 和 GlobalSign Root CA - R1 到期后仍受到保护。

在以下情况下,您的系统通常可与这一根 CA 变更兼容:

  • 您的服务在受维护的主流操作系统上运行,您修复了您的服务所使用的操作系统以及库,且您不自行维护根证书存储区;或者
  • 您完全遵循了以前的建议,且安装了受信任的 Google 根 CA 文件包中的全部根 CA