Die Verwendung der SSL/TLS-Verschlüsselung für Online-Organisationen hat sich zu einer bewährten Praxis in Sachen Sicherheit entwickelt und wird immer mehr zur Voraussetzung, da große Technologieunternehmen sich das Ziel gesetzt haben, das Internet sicherer zu machen, und entsprechend Druck ausüben. Zum Beispiel begann der Webbrowser Google Chrome Ende 2016 damit, Websites, die nicht HTTPS verwenden, für seine Benutzer sichtbar als „Nicht sicher“ zu kennzeichnen.1 Parallel dazu wurden beim Webbrowser Mozilla Firefox noch stärkere Warnungen eingeführt, die angezeigt werden, wenn Benutzer versuchen, Datenformulare ohne HTTPS-Schutz zu übermitteln.2
SSL for SaaS von Cloudflare ermöglicht den Endkunden eines SaaS-Unternehmens, ihre benutzerdefinierte Vanity-Domain weiterzuverwenden, während die Kommunikation über SSL gesichert wird. Die Vorteile für Endkunden umfassen eine markenbezogene Benutzererfahrung, gestärktes Vertrauen und bessere SEO-Rankings sowie die Möglichkeit, HTTP/2 für noch höhere Geschwindigkeiten zu verwenden. Cloudflare automatisiert den gesamten SSL-Lebenszyklus, vom Kauf über die Bereitstellung bis zur Erneuerung der Zertifikate. Hierzu sind nur wenige Minuten erforderlich. SaaS-Unternehmen können diesen Vorteil als Teil ihres Kunden-Onboarding-Verfahrens anbieten.
Bei Vanity-Domains von Kunden ohne SSL fehlen die Performance-Vorteile von SSL und die sichere Datenübertragung. Dadurch werden die Domains anfälliger für die Ausspähung oder Veränderung von Inhalten, bevor diese Inhalte die Besucher erreichen.
Domains, bei denen SSL von einem SaaS-Provider aktiviert wurde, verfügen nicht über eine individuelle Vanity-Domain. Dadurch wird die Marke abgewertet und die SEO-Rankings verschlechtern sich.
SaaS-Provider, die verschlüsselte markenbezogene Vanity-Domains verwenden möchten, können die SSL-Lebenszyklen entweder manuell verwalten – was zu langen Bereitstellungszeiten und zusätzlichen Betriebskosten führt – oder eine komplexe automatisierte Lösung aufbauen.
Nehmen Sie Kontakt mit Cloudflare auf.
Markenbezogene Besuchererlebnisse
SaaS-Provider, die ihren Endkunden die Bereitstellung einer markenbezogenen benutzerdefinierten Domain anbieten, können dies auch weiterhin tun. Gleichzeitig genießen sie die Vorteile eines vollständig verwalteten SSL-Zertifikats. Markenbezogene Domains bedeuten für Endkunden höhere SEO-Rankings und höheres Besuchervertrauen.
Sichere, leistungsfähige Kundenassets
SSL/TLS-Zertifikate für Endkunden-Domains gewährleisten den sicheren Transport sensibler Kundendaten und schützen vor Man-in-the-Middle-Angriffen und Netzwerk-Snooping. Das HTTP/2-Protokoll sorgt zusätzlich für noch höhere Geschwindigkeiten.
Automatisierte SSL-Lebenszyklusverwaltung
Cloudflare verwaltet den gesamten SSL-Lebenszyklus für die Vanity-Domain des Kunden eines SaaS-Providers, von Generierung und Schutz privater Schlüssel bis zur Domain-Validierung, Ausstellung, Erneuerung und Neuausstellung.
Schnelle globale SSL-Bereitstellungen
Während des SSL-Ausgabeprozesses stellt Cloudflare neue Zertifikate über sein globales Netzwerk aus Rechenzentren in 200 Städten bereit. So erfolgt die HTTPS-Online-Bereitstellung innerhalb von Minuten und so nahe wie möglich am Besucher.
Der „SSL for SaaS“-Prozess wird vollständig von Cloudflare durchgeführt, das heißt, SaaS-Provider müssen bei der Eingliederung von benutzerdefinierten Domains von Endkunden lediglich eine einzige API-Anforderung versenden – oder wenige Klicks auf dem Cloudflare-Dashboard ausführen. Anschließend müssen die Endkunden des SaaS-Providers lediglich den ersten CNAME zur Domain des SaaS-Providers hinzufügen. Alle anderen Teile des Eingliederungsprozesses für benutzerdefinierte Domains übernimmt Cloudflare.Der Rest dieses Prozesses wird von Cloudflare übernommen. Dazu gehören:
F: Wie wird der Traffic meines Kunden zu meinem Ursprung gesendet? Ist der Vorgang sicher?
A: Ja, Cloudflare empfiehlt, den Full- bzw. Strict-SSL-Modus zu verwenden, so dass der Traffic über HTTPS zu Ihrem Ursprung gesendet wird. Diese Option können Sie in Ihrer Zone auf der „Crypto“-Registerkarte konfigurieren. Wenn Sie den Strict-Modus verwenden, müssen Sie sicherstellen, dass die Zertifikate am Ursprung einen Subject Alternative Name (SAN) enthalten, der mit dem Hostnamen Ihres Kunden übereinstimmt, z. B. support.ihrkunde.site. Sie können Origin CA von Cloudflare verwenden, um diese Zertifikate für die Verwendung im Strict-Modus zu generieren.
F: Wie lange dauert es, bis ein Zertifikat ausgestellt ist und verwendet werden kann?
A: Zertifikate werden in der Regel innerhalb weniger Minuten validiert, ausgegeben und an den Rand unseres Netzwerks geschoben. Sie können den Status des Fortschritts (Initialisierung, Validierung ausstehend, Ausstellung ausstehend, Bereitstellung ausstehend, aktiv) nachverfolgen, indem Sie eine GET-Anforderung senden.
$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
"result": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"type": "dv",
"method": "http",
"status": "active"
}
},
"success": true
}
F: Was ist mit Erneuerungen oder Neuausstellungen? Muss ich oder meine Kunden etwas tun?
A: Nein, Cloudflare erledigt das für Sie. Die von uns ausgestellten Zertifikate sind ein volles Jahr (365 Tage) gültig und werden automatisch mindestens 30 Tage vor Ablauf erneuert. Diese Zertifikate werden ausschließlich auf den Hostnamen Ihres Kunden ausgestellt, und solange der CNAME vorhanden ist, können wir sie durch den Nachweis einer „Domain-Validierungskontrolle“ des Hostnamens problemlos erneuern. Wenn der Kunde abwandert, empfehlen wir, eine LÖSCHEN-Anforderung an Cloudflare zu senden, damit Cloudflare das Zertifikat vom Netzwerkrand entfernt und nicht mehr versucht, es zu erneuern.
F: Welche Vorteile haben meine Kunden von Cloudflare?
A: Die Antwort ist einfach: Ihre Kunden profitieren von allen Vorteilen – mit Ausnahme des Schutzes ihrer DNS-Infrastruktur (es sei denn, sie verwenden Cloudflare auch für den autoritativen Nameservice). Sobald ihr Traffic auf Ihren White-Label-Hostnamen verweist, kann Cloudflare branchenführenden DDoS-Schutz, CDN, WAF, HTTP/2, Lastverteilung und vieles mehr bereitstellen.
F: Was passiert, wenn mein Kunde bereits HTTPS für seinen benutzerdefinierten Hostnamen verwendet? Gibt es eine Möglichkeit, Ausfallzeiten während der Migration zu vermeiden?
A: In einigen Fällen haben Sie vielleicht bereits eine interne Lösung zusammengestellt, die auf vom Kunden bereitgestellten Daten basiert. Oder Ihr Kunde verwendet seinen Wunsch-Hostnamen mit einem Drittanbieter (oder einer internen Lösung), der HTTPS bereitstellt und keine kurzen Wartungsfenster toleriert.
Für diese Fälle haben wird die zwei alternativen Methoden zur „Vorab-Validierung“, die in dedizierten Zertifikaten verfügbar sind, auf unser „SSL for SaaS“-Angebot ausgeweitet: E-Mail und CNAME. Ändern Sie einfach die SSL-Methode in der obigen API-Anforderung von „http“ in „email“ oder „cname“ und senden Sie die Anforderung. Weitere Informationen finden Sie in der API-Dokumentation.
Die andere Methode – ein CNAME-Token – wird in der Regel verwendet, wenn Sie DNS-Steuerung für die Vanity-Namen verwenden (vor allem einige unserer SaaS-Kunden, die Website-Erstellung und Hosting-Dienste anbieten, lassen die Registrierung der benutzerdefinierten Domain als Teil des Workflows zu).
Abschließend können Sie entscheiden, ob der HTTP-Token, der von der „http“-Validierungsmethode an Ihren Ursprung zurückgegeben wurde, verarbeitet werden soll (anstatt den Token von Cloudflare während des Reverse-Proxy-Vorgangs einfügen zu lassen). In diesem Fall wird der Token von unserer automatisierten Warteschlange für Wiederholungsversuche erkannt. Wenn Cloudflare den Token sofort wiederholen soll, sobald dieser vorhanden ist, können Sie eine PATCH-Anfrage an den Endpunkt senden, der denselben SSL-Text enthält wie die POST-Anfrage. Der Token wird daraufhin sofort überprüft.
Nehmen Sie Kontakt mit Cloudflare auf.