SSL da Cloudflare para provedores de SaaS

A adoção de criptografia SSL/TLS para organizações online tornou-se uma prática recomendada de segurança, e é cada vez mais uma exigência, devido a pressões de grandes empresas de tecnologia que desejam construir uma Internet mais segura. Por exemplo, o navegador Google Chrome começou a sinalizar de forma visível os sites que não usam HTTPS como “Não seguro” para seus usuários no fim de 2016 1. Em paralelo, o navegador Web Firefox, da Mozilla, começou a emitir avisos ainda mais graves para os usuários que tentam enviar formulários de informação não protegida por HTTPS. 2

O SSL da Cloudflare para SaaS permite ao cliente final da empresa de SaaS continuar usando um domínio personalizado, ao mesmo tempo garantindo a comunicação por meio de SSL. Os benefícios para os clientes finais incluem uma experiência com marca para o visitante, mais confiança, classificações de SEO melhores e a possibilidade de usar HTTP/2 para obter mais velocidade. A Cloudflare automatiza todo o ciclo de vida de SSL, desde a compra até à implantação e a renovação dos certificados, o que é feito em minutos, permitindo que as empresas de SaaS ofereçam esse benefício como parte de seu fluxo de integração do cliente.

Fale Conosco!

Existem três cenários em que o provedor de SaaS pode se encontrar, ao atender as necessidades dos clientes finais de SSL:

Domínio sem criptografia, mas com marca personalizada

Os domínios personalizados sem SSL não têm os benefícios de desempenho do SSL e a transferência segura de dados, tornando-os vulneráveis à espionagem e à alteração do conteúdo ou injeção de conteúdo antes deste chegar aos visitantes.

Domínio criptografado, mas sem marca

Domínios com SSL ativado por meio de um provedor de SaaS não têm um domínio personalizado, resultando na degradação da marca e classificações mais baixas de SEO.

Método de validação interna

Fornecedores de SaaS que desejam domínios personalizados de marca e criptografados podem gerenciar manualmente os ciclos de vida de SSL, resultando em tempos de implementação longos e custos adicionais, ou criar uma solução interna complexa e automatizada.

Pronto para otimizar o desempenho e a segurança da sua proposta de SaaS?

Entre em contato com a Cloudflare.

Cloudflare Argo avoids congestion

Experiências de visitantes com marca

Provedores de SaaS que oferecem aos clientes finais a opção de trazer um domínio personalizado, podem continuar a fazê-lo, enquanto desfruta dos benefícios adicionais de um certificado SSL totalmente gerenciado. Os domínios de marca oferecem aos clientes finais classificações mais altas de SEO e maior confiança do visitante.

Cloudflare Argo reuses connections

Ativos de cliente seguro e com desempenho

Certificados SSL/TLS em domínios de clientes finais garantem o transporte seguro de dados confidenciais de clientes, protegendo contra ataques man-in-the-middle e escuta de rede. Além disso, o protocolo HTTP/2 fica disponível para melhorias ainda maiores na velocidade.

Cloudfare Argo works on Cloudflare's private network

Gestão Automatizada de ciclo de vida de SSL

A Cloudflare gerencia todo o ciclo de vida de SSL de um domínio personalizado de cliente do provedor de SaaS, desde a criação da chave privada e a proteção do domínio por validação, emissão, renovação e reemissão.

Cloudflare Argo tiered caching

Implementações de Rapid Global SSL

Durante o processo de emissão de SSL, a Cloudflare implanta novos certificados em toda a sua rede global de 116 centrais de dados, colocando HTTPS online em poucos minutos, o mais próximo possível dos visitantes.

Desafios da construção de uma solução interna de SSL

Há dois caminhos que podem ser tomados para criar uma solução de SSL in-house para domínios personalizados, os quais requerem grandes esforços, tanto para o provedor de SaaS como para o cliente final. O caminho automatizado (superior) no diagrama abaixo, automatiza o processo de SSL, mas requer amplos esforços de engenharia e a solução de desafios de segurança complexos. O caminho manual (inferior) exige esforços de ambas as equipes, do provedor de SaaS e de seus clientes finais, com a possibilidade de perda de prazos de expiração de certificados e quedas no serviço. Independentemente do caminho escolhido, é provável que o desempenho seja afetado, a menos que os certificados de SSL possam ser implantados em uma rede de distribuição global de grande porte.

Somente HTTP CNAMEs Manualmente carregar certificados Manualmente gerenciar certificado ciclos de vida Criar e treinar contato do cliente equipe API personalizada Integração (por exemplo, Usando Let's Criptografar) Tempo Engenharia Esforço Caminho automatizado Caminho manual Como # de sites crescem Global certificado distribuição rede Renovações manuais com esforço do cliente Avançado desafios Lidar com segurança chaves de criptografia Constante manutenção e continuou apoiar os esforços Caminho da Cloudflare API fácil da Cloudflare Integração de IU

CNAMEs somente HTTP

No início, os clientes finais do provedor de SaaS só estarão enviando e recebendo tráfego HTTP em seus domínios personalizados com CNAME.

Como funciona o SSL para SaaS?

O SSL para o processo de SaaS é totalmente manipulado pela Cloudflare e só exige que os fornecedores de SaaS enviem uma única chamada API — ou deem alguns cliques no painel da Cloudflare — como parte de um fluxo de trabalho de integração de domínio personalizado de um cliente final. Após disso, bastará que os clientes finais do provedor de SaaS adicionem o CNAME inicial ao domínio do provedor de SaaS. A Cloudflare administra todo o processo restante de integração do domínio personalizado.

O restante deste processo é gerenciado pela Cloudflare e inclui:

  • Solicitando a autoridade de certificação para validar o domínio personalizado do cliente final para emissão de certificados SSL.
  • Recebe um token de validação da autoridade de certificação e torna-a acessível a partir da borda da Cloudflare.
  • Encarrega a autoridade de certificação de completar a validação HTTP e, em seguida, solicita que a autoridade de certificação emita os certificados SSL.
  • Recebem certificados e envia-os para a borda da rede da Cloudflare que é formada por mais de 116 centrais de dados em todo o mundo para otimizar a latência e o desempenho de TLS.

Dúvidas frequentes

P: Como o tráfego dos meus clientes é enviado para minha origem? É protegido?

R: Sim, a Cloudflare incentiva a utilização do modo SSL completo ou estrito para que o tráfego enviado para a sua origem utilize HTTPS. Esta opção pode ser configurada na aba Crypto da sua zona. Se você estiver usando o modo estrito, deverá garantir que os certificados na origem contenham um Subject Alternative Names (SAN) correspondente ao hostname do seu cliente. Por exemplo, support.yourcustomer.site. Nosso produto CA de origem pode ser usado para gerar esses certificados para uso com o modo estrito.

P: Quanto tempo demora para emitir um certificado e tê-lo pronto para uso?

R: Os Certificados são normalmente validados, emitidos, e enviados para nossa borda em poucos minutos. É possível monitorar o progresso por meio dos vários estados — inicializando, aguardando validação, aguardando emissão, aguardando implantação e ativo — por meio de uma chamada GET.

$ curl -sXGET -H "X-Auth-Key:" [YOUR KEY] H "X-Auth-mail:" https://www.cloudflare.com/api/v4/zones/ [YOUR EMAIL] /custom_hostnames?hostname=support.yourcustomer.site [ZONE ID]
       
         { "result": {
           "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
           "hostname": "support.yourcustomer.site",
           "ssl": {
           "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
           "type": "dv",
           "method": "http",
           "status": "active"
         }
       },
         "Sucesso": true
       }
       

P: E as renovações ou novas emissões? Eu ou meus clientes precisamos fazer algo?

R: Não, a Cloudflare cuida de tudo isso para você. Os certificados que emitimos são válidos por um ano inteiro (365 dias) e serão renovadoa automaticamente pelo menos 30 dias antes do vencimento. Estes certificados são emitidos unicamente em nome de seu cliente e, por isso, enquanto o CNAME ainda estiver implementado, poderemos continuar renovando facilmente, demonstrando o “controle de validação de domínio” desse hostname. Se o cliente tiver cancelado, incentivamos que você envie à Cloudflare uma solicitação DELETE para que a Cloudflare possa retirar o certificado da borda e não tente renová-lo.

P: Que benefícios da Cloudflare terão meus clientes?

R: Exceto por proteger a infraestrutura de DNS dos seus clientes (a menos que estejam também usando a Cloudflarecomo servidor de nomes autoritativo), a resposta mais simples é: todos eles. Depois que o tráfego for apontado para seu hostname autorizado, a Cloudflare poderá fornecer proteção de DDoS líder no setor, CDN, WAF, HTTP/2, balanceamento de carga e muito mais.

P: E se meu cliente já estiver usando HTTPS no hostname personalizado? Existe uma maneira de evitar tempo de inatividade durante a migração?

R: Em alguns casos, você já poderá ter criado uma solução internamente baseada em materiais importantes fornecidos pelo cliente. Ou seu cliente estará usando o hostname desejado com um concorrente (ou uma solução interna) que fornece HTTPS e não pode tolerar uma janela de manutenção curta.

Para esses casos, estendemos os dois métodos alternativos “de pré-validação” disponíveis nos Certificados Dedicados do SSL para a oferta de SaaS : email e CNAME. Basta alterar o método SSL na chamada da API acima, de “http” para “email” ou “cname” e enviar o pedido. Consulte a documentação da API para obter mais informações.

O outro método alternativo, token CNAME, é normalmente usado quando você controla o DNS para os nomes personalizados (alguns de nossos clientes de SaaS, especialmente aqueles que fornecem a criação de sites e serviços de hospedagem, permitem que o domínio personalizado seja registrado como parte do fluxo de trabalho).

Por último, você está livre para fornecer o token HTTP retornado pelo método de validação “http” na sua origem (em vez de deixar a Cloudflare inseri-lo durante o proxy reverso) e nossa fila de repetição automática vai detectá-lo, uma vez que ele estiver atuando. Se você quiser informar a Cloudflare quando isso estiver pronto e ter uma nova tentativa imediata, poderá enviar um patch ao ponto de extremidade com o mesmo corpo de SSL que enviou durante o POST e o verificaremos imediatamente.

Pronto para otimizar o desempenho e a segurança da sua oferta de SaaS?

Entre em contato com a Cloudflare.