SSL for SaaS Providers von Cloudflare

Die Verwendung der SSL/TLS-Verschlüsselung für Online-Organisationen hat sich zu einer bewährten Praxis in Sachen Sicherheit entwickelt und wird immer mehr zur Voraussetzung, da große Technologieunternehmen sich das Ziel gesetzt haben, das Internet sicherer zu machen, und entsprechend Druck ausüben. Zum Beispiel begann der Webbrowser Google Chrome Ende 2016 damit, Websites, die nicht HTTPS verwenden, für seine Benutzer sichtbar als „Nicht sicher“ zu kennzeichnen.1 Parallel dazu wurden beim Webbrowser Mozilla Firefox noch stärkere Warnungen eingeführt, die angezeigt werden, wenn Benutzer versuchen, Datenformulare ohne HTTPS-Schutz zu übermitteln.2

http treatment

Reden Sie mit uns!

The information you provide to Cloudflare is governed by the terms of our Privacy Policy.

success logo

Danke

Ein Mitarbeiter von Cloudflare wird sich in Kürze bei Ihnen melden.

SSL for SaaS von Cloudflare ermöglicht den Endkunden eines SaaS-Unternehmens, ihre benutzerdefinierte Vanity-Domain weiterzuverwenden, während die Kommunikation über SSL gesichert wird. Die Vorteile für Endkunden umfassen eine markenbezogene Benutzererfahrung, gestärktes Vertrauen und bessere SEO-Rankings sowie die Möglichkeit, HTTP/2 für noch höhere Geschwindigkeiten zu verwenden. Cloudflare automatisiert den gesamten SSL-Lebenszyklus, vom Kauf über die Bereitstellung bis zur Erneuerung der Zertifikate. Hierzu sind nur wenige Minuten erforderlich. SaaS-Unternehmen können diesen Vorteil als Teil ihres Kunden-Onboarding-Verfahrens anbieten.

Bei der Erfüllung von SSL-Anforderungen von Endkunden gibt es für SaaS-Provider drei Szenarien:

ssl for saas scenario 1

Unverschlüsselte aber markenbezogene Vanity-Domain

Bei Vanity-Domains von Kunden ohne SSL fehlen die Performance-Vorteile von SSL und die sichere Datenübertragung. Dadurch werden die Domains anfälliger für die Ausspähung oder Veränderung von Inhalten, bevor diese Inhalte die Besucher erreichen.

ssl for saas scenario 2

Verschlüsselte aber nicht markenbezogene Domain

Domains, bei denen SSL von einem SaaS-Provider aktiviert wurde, verfügen nicht über eine individuelle Vanity-Domain. Dadurch wird die Marke abgewertet und die SEO-Rankings verschlechtern sich.

ssl for saas scenario 3

Komplexer interner Ansatz

SaaS-Provider, die verschlüsselte markenbezogene Vanity-Domains verwenden möchten, können die SSL-Lebenszyklen entweder manuell verwalten – was zu langen Bereitstellungszeiten und zusätzlichen Betriebskosten führt – oder eine komplexe automatisierte Lösung aufbauen.

„Mit SSL for SaaS haben wir einen einfacheren Prozess implementiert, denn die API von Cloudflare übernimmt die Beschaffung, Bereitstellung, automatische Erneuerung und Instandhaltung der SSL-Zertifikate unserer Kunden. Außerdem bieten wir unseren Kunden dank End-to-End-HTTPS jetzt auch erhöhte Sicherheit und Performance und können Browser-Features wie lokale Speicherung, die wir vorher nicht nutzen konnten, wirksam einsetzen.“
Andrew Murray
CTO bei Olo

Nehmen Sie Kontakt mit Cloudflare auf.

Markenbezogene Besuchererlebnisse

Markenbezogene Besuchererlebnisse

SaaS-Provider, die ihren Endkunden die Bereitstellung einer markenbezogenen benutzerdefinierten Domain anbieten, können dies auch weiterhin tun. Gleichzeitig genießen sie die Vorteile eines vollständig verwalteten SSL-Zertifikats. Markenbezogene Domains bedeuten für Endkunden höhere SEO-Rankings und höheres Besuchervertrauen.

Sichere, leistungsfähige Kundenassets

Sichere, leistungsfähige Kundenassets

SSL/TLS-Zertifikate für Endkunden-Domains gewährleisten den sicheren Transport sensibler Kundendaten und schützen vor Man-in-the-Middle-Angriffen und Netzwerk-Snooping. Das HTTP/2-Protokoll sorgt zusätzlich für noch höhere Geschwindigkeiten.

Automatisierte SSL-Lebenszyklusverwaltung

Automatisierte SSL-Lebenszyklusverwaltung

Cloudflare verwaltet den gesamten SSL-Lebenszyklus für die Vanity-Domain des Kunden eines SaaS-Providers, von Generierung und Schutz privater Schlüssel bis zur Domain-Validierung, Ausstellung, Erneuerung und Neuausstellung.

Schnelle globale SSL-Bereitstellungen

Schnelle globale SSL-Bereitstellungen

Während des SSL-Ausgabeprozesses stellt Cloudflare neue Zertifikate über sein globales Netzwerk aus Rechenzentren in 200 Städten bereit. So erfolgt die HTTPS-Online-Bereitstellung innerhalb von Minuten und so nahe wie möglich am Besucher.

Herausforderungen einer internen SSL-Lösung

Eine interne SSL-Lösung für benutzerdefinierte Vanity-Domains kann auf zwei Arten erstellt werden. Beide Arten erfordern einen erheblichen Aufwand sowohl vom SaaS-Provider als auch vom Endkunden. Beim automatisierten Ansatz (oben) im unten gezeigten Diagramm wird das SSL-Verfahren automatisiert, es müssen jedoch umfassende Engineering-Leistungen erbracht und komplexe Herausforderungen im Sicherheitsbereich bewältigt werden. Der manuelle Ansatz (unten im Diagramm) ist für SaaS-Providerteams und deren Endkunden aufwändig und bringt ein höheres Risiko für abgelaufene Zertifikate und Ausfälle mit sich. Egal, welcher Ansatz gewählt wird, die Performance wird in der Regel solange beeinträchtigt bleiben, bis SSL-Zertifikate in einem großen globalen Netzwerk zur Verteilung bereitgestellt werden können.

  HTTP-only- CNAMEs Manuelles Hochladen von Zertifikaten Manuelles Verwaltung von Zertifikat- Lebenszyklen Aufstellung und Schulung eines Kundenkontakt- Teams Benutzerdefinierte API- Integration (z. B. Verwendung von Let's Encrypt) Zeit Technischer Aufwand Automatisierter Ansatz Manueller Ansatz Mit zunehmender Anzahl von Websites Global von Zertifikat- Verteilung Netzwerk Manuelle Erneuerungen mit erforderlichem Kundenaufwand Gestiegene Herausforderungen Sichere Handhabung von Verschlüsselungsschlüsseln Laufende Instandhaltung und kontinuierliche Support-Bemühungen Cloudflare-Ansatz Einfache Cloudflare-API-/ UI-Integration

HTTP-only-CNAMEs

Zu Beginn senden und empfangen Endkunden von SaaS-Providern nur HTTP-Traffic in ihren benutzerdefinierten und mit einem CNAME versehenen Vanity-Domains.

Manuelles Hochladen von Zertifikaten

Um die Prozesse zur Hinzufügung von SSL zu benutzerdefinierten CNAME-Vanity-Domains zu initiieren, wird ein Prozess eingerichtet, durch den Kunden Zertifikate kaufen und gekaufte Zertifikate an den SaaS-Provider senden, damit dieser sie manuell hochladen kann.

Manuelle Verwaltung von Zertifikatslebenszyklen

Nach dem Hochladen von Kundenzertifikaten ist eine manuelle Bearbeitung notwendig, damit der Lebenszyklus dieser Zertifikate verwaltet werden kann. Dazu gehören Ausstellung und Schutz von privaten Schlüsseln über Domain-Validierung, Ausstellung, Erneuerung und Wiederausstellung.

Einrichtung von API-Integration (z. B. mit Let’s Encrypt)

Wenn die Gesamtzahl der Websites und Kunden, die die Dienste eines SaaS-Providers nutzen, zu wachsen beginnt, muss eine Entscheidung getroffen werden: entweder Automatisierung des SSL-Lebenszyklus-Prozesses für benutzerdefinierte Domains – wofür ein höheres Maß an technischem Aufwand erforderlich ist – oder weiterer Ausbau einer manuellen Lebenszyklus-Verwaltung, die weniger technischen Aufwand verlangt aber eine Belastung für interne Teams und Endkunden ausmacht.

Sichere Handhabung von Verschlüsselungsschlüsseln

Private Schlüssel müssen über einen sicheren Speicherort verfügen, im Ruhezustand verschlüsselt sein und dürfen nie unverschlüsselt auf Festplatten geschrieben werden. Schlüssel zu verschlüsseln, ist einfach, aber sie spontan zu entschlüsseln, ist schwierig, da hierfür entweder manueller Arbeitsaufwand oder erheblicher technischer Aufwand nötig ist. Bewährte Praktiken für die Verwaltung von privaten Schlüsseln wurden hier auf OWASP.org. veröffentlicht. Cloudflare ist Experte für Erzeugung und Schutz von privaten Schlüsseln für Millionen von Domains. Hierfür nutzen wir unser Universal SSL, unsere dedizierten Zertifikate und unser SSL for SaaS.

Globales Verteilungsnetz für Zertifikate

Um Performanceverluste so gering wie möglich zu halten, müssen Sie Zertifikate systematisch auf der ganzen Welt verteilen und sie in unmittelbarer Nähe der Besucher Ihrer Kunden zur Verfügung stellen. Je länger der Weg einer Anfrage eines Besuchers Ihres Endkunden ist, desto langsamer lädt seine Seite. Mit TLS 1.2 benötigt ein erster TLS-Handshake zwei Roundtrips. Wenn dieser Handshake nur wenige Orte erreichen kann, leidet die Performance.

Laufende Wartung und ständiger Support-Aufwand (automatisierter Ansatz)

Für SaaS-Unternehmen, die sich zur Realisierung einer eigenen SSL-Lösung für den automatisierten Ansatz entschieden haben, besteht der Großteil der Wartung darin, Codebasen zu aktualisieren und sicherzustellen, dass sie mit Integrationen und Standards von Zertifizierungsstellen kompatibel sind.

Aufbau und Schulung von Kundenkontaktteams

Zur manuellen Verwaltung der Zertifikatlebenszyklen für Endkunden ist ein neues oder ein bereits vorhandenes Team innerhalb des Unternehmens des SaaS-Providers erforderlich. Kundenkontaktteams müssen hierfür mit Kunden in Kontakt treten, um Updates für abgelaufene Zertifikate anzubieten und die Erneuerung neuer Zertifikate anzufordern.

Manuelle Erneuerungen mit erforderlichem Kundenaufwand

Kunden müssen am Zertifikatserneuerungsprozess teilnehmen, indem sie die jeweiligen Zertifikate erneuern und anschließend wieder an das Team senden, das für das Hochladen verantwortlich ist. Zusätzlich dazu müssen sie diesen Erneuerungsprozess durchführen, bevor das vorhandene Zertifikat abläuft. Wenn vorhandene Zertifikate ablaufen, gehen die Internet-Assets des Kunden wahrscheinlich offline, wenn keine vorbeugenden Maßnahmen getroffen werden.

Globales Verteilungsnetz für Zertifikate

Um Performanceverluste so gering wie möglich zu halten, müssen Sie Zertifikate systematisch auf der ganzen Welt verteilen und sie in unmittelbarer Nähe der Besucher Ihrer Kunden zur Verfügung stellen. Je länger der Weg einer Anfrage eines Besuchers Ihres Endkunden ist, desto langsamer lädt seine Seite. Mit TLS 1.2 benötigt ein erster TLS-Handshake zwei Roundtrips. Wenn dieser Handshake nur wenige Orte erreichen kann, leidet die Performance.

Laufende Wartung und ständiger Support-Aufwand (manueller Ansatz)

Für SaaS-Unternehmen, die sich zur Realisierung einer eigenen SSL-Lösung für den manuellen Ansatz entschieden haben, besteht ein Großteil der Wartung in einem fortlaufenden manuellen Arbeitsaufwand, der sich darauf konzentriert, private Schlüssel zu schützen, Zertifikatlebenszyklen zu verwalten, Kunden an die Erneuerung zu erinnern und neue Zertifikate hochzuladen. Endkunden von SaaS-Providern leiden unter einer zusätzlichen Belastung, da sie durch die Erneuerung und anschließende Versendung von Zertifikaten in regelmäßigen Abständen am Zertifikatlebenszyklus teilnehmen müssen.

Einfache Cloudflare-API/UI-Integration

Die „SSL for SaaS“-Lösung von Cloudflare reduziert den technischen Aufwand auf ein Mindestmaß und eliminiert die Belastung, die durch die Verwaltung des SSL-Lebenszyklus für SaaS-Provider und deren Endkunden entsteht.

Wie funktioniert SSL for SaaS?

Der „SSL for SaaS“-Prozess wird vollständig von Cloudflare durchgeführt, das heißt, SaaS-Provider müssen bei der Eingliederung von benutzerdefinierten Domains von Endkunden lediglich eine einzige API-Anforderung versenden – oder wenige Klicks auf dem Cloudflare-Dashboard ausführen. Anschließend müssen die Endkunden des SaaS-Providers lediglich den ersten CNAME zur Domain des SaaS-Providers hinzufügen. Alle anderen Teile des Eingliederungsprozesses für benutzerdefinierte Domains übernimmt Cloudflare.Der Rest dieses Prozesses wird von Cloudflare übernommen. Dazu gehören:

  • Anforderung einer Validierung der benutzerdefinierten Domain des Endkunden für die SSL-Zertifikatausstellung bei der Zertifizierungsstelle.
  • Empfang eines Validierungstokens von der Zertifizierungsstelle, der am Rand des Cloudflare-Netzwerks verfügbar gemacht wird.
  • Anweisung an die Zertifizierungsstelle, die HTTP-Validierung abzuschließen, und anschließende Anforderung der Ausgabe der SSL-Zertifikate bei der Zertifizierungsstelle.
  • Empfang der Zertifikate, die zum Rand des Cloudflare-Netzwerks aus Rechenzentren in 200 Städten weltweit verschoben werden, um Latenz und TLS-Performance zu optimieren.

Häufig gestellte Fragen

F: Wie wird der Traffic meines Kunden zu meinem Ursprung gesendet? Ist der Vorgang sicher?

A: Ja, Cloudflare empfiehlt, den Full- bzw. Strict-SSL-Modus zu verwenden, so dass der Traffic über HTTPS zu Ihrem Ursprung gesendet wird. Diese Option können Sie in Ihrer Zone auf der „Crypto“-Registerkarte konfigurieren. Wenn Sie den Strict-Modus verwenden, müssen Sie sicherstellen, dass die Zertifikate am Ursprung einen Subject Alternative Name (SAN) enthalten, der mit dem Hostnamen Ihres Kunden übereinstimmt, z. B. support.ihrkunde.site. Sie können Origin CA von Cloudflare verwenden, um diese Zertifikate für die Verwendung im Strict-Modus zu generieren.

F: Wie lange dauert es, bis ein Zertifikat ausgestellt ist und verwendet werden kann?

A: Zertifikate werden in der Regel innerhalb weniger Minuten validiert, ausgegeben und an den Rand unseres Netzwerks geschoben. Sie können den Status des Fortschritts (Initialisierung, Validierung ausstehend, Ausstellung ausstehend, Bereitstellung ausstehend, aktiv) nachverfolgen, indem Sie eine GET-Anforderung senden.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
"result": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"type": "dv",
"method": "http",
"status": "active"
}
},
"success": true
}

F: Was ist mit Erneuerungen oder Neuausstellungen? Muss ich oder meine Kunden etwas tun?

A: Nein, Cloudflare erledigt das für Sie. Die von uns ausgestellten Zertifikate sind ein volles Jahr (365 Tage) gültig und werden automatisch mindestens 30 Tage vor Ablauf erneuert. Diese Zertifikate werden ausschließlich auf den Hostnamen Ihres Kunden ausgestellt, und solange der CNAME vorhanden ist, können wir sie durch den Nachweis einer „Domain-Validierungskontrolle“ des Hostnamens problemlos erneuern. Wenn der Kunde abwandert, empfehlen wir, eine LÖSCHEN-Anforderung an Cloudflare zu senden, damit Cloudflare das Zertifikat vom Netzwerkrand entfernt und nicht mehr versucht, es zu erneuern.

F: Welche Vorteile haben meine Kunden von Cloudflare?

A: Die Antwort ist einfach: Ihre Kunden profitieren von allen Vorteilen – mit Ausnahme des Schutzes ihrer DNS-Infrastruktur (es sei denn, sie verwenden Cloudflare auch für den autoritativen Nameservice). Sobald ihr Traffic auf Ihren White-Label-Hostnamen verweist, kann Cloudflare branchenführenden DDoS-Schutz, CDN, WAF, HTTP/2, Lastverteilung und vieles mehr bereitstellen.

F: Was passiert, wenn mein Kunde bereits HTTPS für seinen benutzerdefinierten Hostnamen verwendet? Gibt es eine Möglichkeit, Ausfallzeiten während der Migration zu vermeiden?

A: In einigen Fällen haben Sie vielleicht bereits eine interne Lösung zusammengestellt, die auf vom Kunden bereitgestellten Daten basiert. Oder Ihr Kunde verwendet seinen Wunsch-Hostnamen mit einem Drittanbieter (oder einer internen Lösung), der HTTPS bereitstellt und keine kurzen Wartungsfenster toleriert.

Für diese Fälle haben wird die zwei alternativen Methoden zur „Vorab-Validierung“, die in dedizierten Zertifikaten verfügbar sind, auf unser „SSL for SaaS“-Angebot ausgeweitet: E-Mail und CNAME. Ändern Sie einfach die SSL-Methode in der obigen API-Anforderung von „http“ in „email“ oder „cname“ und senden Sie die Anforderung. Weitere Informationen finden Sie in der API-Dokumentation.

Die andere Methode – ein CNAME-Token – wird in der Regel verwendet, wenn Sie DNS-Steuerung für die Vanity-Namen verwenden (vor allem einige unserer SaaS-Kunden, die Website-Erstellung und Hosting-Dienste anbieten, lassen die Registrierung der benutzerdefinierten Domain als Teil des Workflows zu).

Abschließend können Sie entscheiden, ob der HTTP-Token, der von der „http“-Validierungsmethode an Ihren Ursprung zurückgegeben wurde, verarbeitet werden soll (anstatt den Token von Cloudflare während des Reverse-Proxy-Vorgangs einfügen zu lassen). In diesem Fall wird der Token von unserer automatisierten Warteschlange für Wiederholungsversuche erkannt. Wenn Cloudflare den Token sofort wiederholen soll, sobald dieser vorhanden ist, können Sie eine PATCH-Anfrage an den Endpunkt senden, der denselben SSL-Text enthält wie die POST-Anfrage. Der Token wird daraufhin sofort überprüft.

Nehmen Sie Kontakt mit Cloudflare auf.