SSL for SaaS von Cloudflare

Die Verwendung der SSL/TLS-Verschlüsselung für Online-Organisationen hat sich zu einer Best Practice in Sachen Sicherheit entwickelt und wird immer mehr zur Voraussetzung, da große Technologieunternehmen sich das Ziel gesetzt haben, das Internet sicherer zu machen, und entsprechend Druck ausüben. Zum Beispiel begann der Internetbrowser Google Chrome Ende 2016 damit, Websites, die nicht HTTPS verwenden, eindeutig als „Nicht sicher“ zu kennzeichnen1. Parallel dazu wurden im Internetbrowser Mozilla Firefox noch deutlichere Warnungen eingeführt, die angezeigt werden, wenn Benutzer versuchen, Datenformulare ohne HTTPS-Schutz zu übermitteln 2

.

So geht Chrome 68 mit HTTP-Seiten um

SSL for SaaS von Cloudflare ermöglicht den Endkunden eines SaaS-Unternehmens, ihre benutzerdefinierte Vanity-Domäne weiterzuverwenden, während die Kommunikation über SSL gesichert wird. Zu den Vorteilen für den Endkunden gehören ein markengerechtes Besuchererlebnis, gesteigertes Vertrauen, Suchmaschinenrankings und die Möglichkeit, HTTP/2 für noch mehr Verbesserungen in Sachen Geschwindigkeit zu nutzen. Cloudflare automatisiert den gesamten SSL-Lebenszyklus, vom Einkauf über die Bereitstellung bis hin zur Erneuerung von Zertifikaten innerhalb nur weniger Minuten. Auf diese Weise können SaaS-Unternehmen diesen Vorteil zu einem Bestandteil ihrer Kundeneingliederung machen.

Reden Sie mit uns!

Drei Szenarien für SaaS-Anbieter bei der Erfüllung von SSL-Anforderungen von Endkunden:

Unverschlüsselte aber benutzerdefinierte Vanity-Domäne

Bei Vanitydomains von Kunden ohne SSL fehlen die Performancevorteile von SSL und der sicheren Datenübertragung, wodurch sie anfälliger dafür werden, dass Inhalte ausgespäht oder verändert werden, bevor sie die Besucher erreichen.

Verschlüsselte aber keine benutzerdefinierte Domäne

Domains, bei denen ein SaaS-Anbieter SSL aktiviert hat, verfügen nicht über eine individuelle Vanitydomain. Dadurch wird die Marke abgewertet und die SEO-Rankings verschlechtern sich.

Komplexer eigener Ansatz

Saas-Anbieter, die verschlüsselte Marken-Vanity-Domänen verwenden möchten, können die SSL-Lebenszyklen entweder manuell verwalten, was zu langen Bereitstellungszeiten und Overhead-Kosten führt, oder eine komplexe automatisierte Inhouse-Lösung aufbauen.

„Mit SSL for SaaS haben wir einen einfacheren Prozess implementiert, denn die API von Cloudflare übernimmt die Beschaffung, Bereitstellung, automatische Erneuerung und Instandhaltung der SSL-Zertifikate unserer Kunden. Außerdem bieten wir unseren Kunden dank End-to-End-HTTPS jetzt auch erhöhte Sicherheit und Performance und können Browsereigenschaften wie die lokale Speicherung, die wir vorher nicht nutzen konnten, wirksam einsetzen.“
Andrew Murray
CTO bei Olo

Sind Sie für die Optimierung der Performance und der Sicherheit Ihres SaaS-Angebots bereit?

Nehmen Sie Kontakt mit Cloudflare auf.

Cloudflare Argo avoids congestion

Markenbezogene Besuchererlebnisse

SaaS-Provider, die Kunden anbieten, ihre eigene markenbezogene benutzerdefinierte Domain mitzubringen, können dies auch weiterhin tun. Gleichzeitig genießen sie die Vorteile eines vollständig verwalteten SSL-Zertifikats. Mit markenbezogenen Domains profitieren Endkunden von höheren Suchmaschinenrankings und gesteigertem Besuchervertrauen.

Cloudflare Argo reuses connections

Sichere, leistungsfähige Kundenassets

SSL/TLS-Zertifikate auf den Domains von Endkunden gewährleisten die sichere Übertragung von sensiblen Kundendaten und schützen vor Man-in-the-Middle-Angriffen und Ausspähen des Netzwerks. Zusätzlich dazu lässt sich das HTTP/2-Protokoll zum Erreichen noch höherer Geschwindigkeiten nutzen.

Cloudfare Argo works on Cloudflare's private network

Automatisierte SSL-Lebenszyklusverwaltung

Cloudflare verwaltet den gesamten SSL-Lebenszyklus für die Vanity-Domäne des Kunden des SaaS-Anbieters, von der Generierung privater Schlüssel bis zur Domänenüberprüfung, Ausstellung, Erneuerung und Neuausstellung.

Cloudflare Argo tiered caching

Schnelle globale SSL-Bereitstellungen

Während des SSL-Ausgabeprozesses stellt Cloudflare neue Zertifikate über sein globales Netzwerk aus 152 Rechenzentren bereit. So erfolgt die HTTPS-Online-Bereitstellung innerhalb von Minuten und so nah wie möglich am Besucher.

Herausforderungen einer internen SSL-Lösung

Für die Realisierung einer eigenen SSL-Lösung für benutzerdefinierte Vanity-Domains gibt es zwei Ansätze, wobei beide einen erheblichen Aufwand vom SaaS-Provider und Endkunden erfordern. Beim automatisierten Ansatz (oben) im Diagramm wird der SSL-Prozess automatisiert, wofür jedoch ein erheblicher Entwicklungsaufwand sowie die Bewältigung komplexer Sicherheitsherausforderungen nötig sind. Beim manuellen Ansatz (unten) müssen sowohl der SaaS-Provider als auch die jeweiligen Endkunden Aufwand betreiben, wobei das Potenzial für verpasste Auslauffristen für Zertifikate und Unterbrechungen steigt. Unabhängig davon, auf welchen Ansatz die Entscheidung fällt, die Performance wird mit großer Wahrscheinlichkeit darunter leiden, wenn SSL-Zertifikate nicht auf einem großen globalen Distributionsnetzwerk bereitgestellt werden.

CNAMEs nur HTTP Zertifikate hochladen Zertifikate Zertifikate Verwaltung Zertifikat Lebenszyklen Aufstellung und Schulung eines Kundenkontakt- Team Benutzerdefinierte API Integration (z. B. Verwendung von Let's Encrypt) Zeit Technischer Aufwand Automatisierter Pfad Manueller Pfad Die Anzahl an Websites steigt Global Zertifikat Verteilung Netzwerk Manuelle Erneuerungen mit erforderlicher Kundenaufwand Erweitert Herausforderungen Sichere Handhabung Verschlüsselungsschlüssel Laufende Instandhaltung und kontinuierliche Support-Bemühungen Cloudflare-Pfad Einfache Cloudflare-API / UI-Integration

HTTP-only-CNAMEs

SaaS-Anbieter-Endkunden senden und empfangen nur HTTP-Datenverkehr in ihren benutzerdefinierten und mit einem CNAME versehenen Vanity-Domänen.

Wie funktioniert SSL for SaaS?

Der SSL for SaaS-Prozess wird vollständig von Cloudflare durchgeführt, das heißt, SaaS-Provider müssen bei der Eingliederung von benutzerdefinierten Domains von Endkunden lediglich eine einzige API-Anforderung versenden – oder wenige Klicks im Cloudflare-Dashboard machen. Anschließend müssen der SaaS-Provider und der Endkunde lediglich den ersten CNAME zur Domain des SaaS-Providers hinzufügen. Alle anderen Teile des Eingliederungsprozesses für benutzerdefinierte Domains übernimmt Cloudflare.

Der übrige Teil dieses Prozesses wird von Cloudflare verwaltet und umfasst Folgendes:

  • Fordert bei der Zertifizierungsstelle eine Überprüfung der benutzerdefinierten Domäne des Endkunden für die SSL-Zertifikatausstellung an.
  • Empfängt einen Überprüfungstoken und macht ihn am Rand des Cloudflare-Netzwerks verfügbar.
  • Weist die Zertifizierungsstelle an, die HTTP-Validierung abzuschließen, und fordert dann die Ausgabe der SSL-Zertifikate bei der Zertifizierungsstelle an.
  • Empfängt Zertifikate und schiebt sie zum Rand des Cloudflare-Netzwerks aus mehr als 152 Rechenzentren weltweit, um Latenz und TLS-Performance zu optimieren.

Häufig gestellte Fragen

F:Wie wird der Datenverkehr meines Kunden zu meinem Ursprung gesendet?Ist der Vorgang sicher?

A:Ja, Cloudflare empfiehlt, den Full- oder Strict-SSL-Modus zu verwenden, damit der Datenverkehr, der an Ihren Ursprung gesendet wird, HTTPS verwendet. Diese Option kann in der Registerkarte „Crypto“ in Ihrer Zone konfiguriert werden. Wenn Sie den Strict-Modus verwenden, müssen Sie darauf achten, dass die Zertifikate an Ihrem Ursprung Subject Alternative Names (SAN) enthalten, die dem Hostnamen Ihres Kunden entsprechen, z. B. support.yourcustomer.site. Sie können Origin CA von Cloudflare verwenden, um diese Zertifikate für die Verwendung im Strict-Modus zu generieren.

F:Wie lange dauert es, bis ein Zertifikat ausgestellt ist und verwendet werden kann?

A:Zertifikate werden normalerweise innerhalb weniger Minuten validiert, ausgestellt und an unseren Rand befördert. Den Prozessstatus können Sie mithilfe der verschiedenen Status überwachen – Initialisierung, Validierung ausstehend, Ausstellung ausstehend, Bereitstellung ausstehend, Aktiv. Sie müssen hierfür lediglich eine GET-Anforderung (Erhalten-Anforderung) erstellen.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

F:Was ist mit Erneuerungen oder Neuausstellungen?Müssen ich oder meine Kunden etwas tun?

A:Nein, Cloudflare übernimmt das alles für Sie. Die von uns ausgestellten Zertifikate sind ein ganzes Jahr lang gültig (365 Tage) und werden spätestens 30 Tage vor der Ablauffrist automatisch erneuert. Diese Zertifikate werden stets im Hostnamen Ihres Kunden ausgestellt. Solange der CNAME vorhanden ist, können wir die Erneuerung also problemlos durch Durchführen einer „Domain-Validierungskontrolle“ des Hostnamens realisieren. Wenn der Kunde abgegangen ist, sollten Sie uns eine DELETE-Anforderung (Lösch-Anforderung) schicken, damit Cloudflare das Zertifikat vom Rand entfernen und die Erneuerung einstellen kann.

F:Welche Vorteile haben meine Kunden von Cloudflare?

A:Das Einzige, was wir nicht tun, ist die DNS-Infrastruktur Ihres Kunden zu schützen (außer er nutzt Cloudflare auch für den autoritativen Nameservice), ansonsten profitieren Ihre Kunden von allen Vorteilen. Sobald der Datenverkehr Ihrer Kunden an Ihren White-Label-Hostnamen weitergeleitet wird, ist Cloudflare dazu in der Lage, branchenführenden DDoS-Schutz, CDN, WAF, HTTP/2, Lastenausgleich und mehr zu bieten.

F:Was ist, wenn meine Kunden in ihrem benutzerdefinierten Hostnamen bereits HTTPS verwenden?Können Ausfallzeiten während der Migration vermieden werden?

A:In einigen Fällen haben Sie möglicherweise bereits intern basierend auf den vom Kunden bereitgestellten wichtigsten Materialien eine Lösung erstellt. Oder Ihr Kunde nutzt seinen gewünschten Hostnamen mit einem Mitbewerber (oder einer internen Lösung), die HTTPS zur Verfügung stellt und kein kurzes Wartungsfenster tolerieren kann.

Für diese Fälle haben wir die zwei Alternativmethoden für die „Vorvalidierung“, die innerhalb dedizierter Zertifikate für unsere SSL für SaaS-Provider zur Verfügung stehen, erweitert: E-Mail und CNAME. Ändern Sie einfach die SSL-Methode oben in der API-Anforderung von „http“ zu „email“ oder „cname“ und schicken Sie die Anforderung ab. Weitere Informationen erhalten Sie in der API-Dokumentation.

Die andere Methode, d. h. ein CNAME-Token, wird in der Regel verwendet, wenn Sie DNS-Steuerung für die Vanity-Namen verwenden (vor allem einige unserer SaaS-Kunden, die Website-Erstellung und Hosting-Dienste anbieten, lassen die Registrierung der benutzerdefinierten Domäne als Teil des Workflows zu).

Letztendlich können Sie je nach Belieben das HTTP-Token, das bei der „http“-Validierungsmethode an Ihrem Ursprung zurückgegeben wird, bereitstellen (anstatt es während dem Reverse-Proxy von Cloudflare einfügen zu lassen). Anschließend wird es von unserer automatisierten Warteschlange für erneute Versuche erkannt, sobald es vorhanden ist. Wenn Sie Cloudflare umgehend mitteilen möchten, dass das Token vorhanden ist und sofort einen erneuten Versuch beginnen möchten, können Sie jederzeit mit dem selben SSL-Text, den Sie während POST gesendet haben, einen PATCH senden und wir werden sofort danach suchen.

Sind Sie für die Optimierung der Performance und der Sicherheit Ihres SaaS-Angebots bereit?

Nehmen Sie Kontakt mit Cloudflare auf.