Proveedores de SSL for SaaS de Cloudflare

La adopción del cifrado SSL/TLS para organizaciones en línea se ha convertido en una práctica recomendada de seguridad y se está volviendo un requisito debido a las presiones de grandes empresas de tecnología que aspiran a crear un Internet más seguro. Por ejemplo, a finales de 2016 el navegador Google Chrome comenzó a etiquetar como "No seguros" de manera visible para los usuarios los sitios web que no usan HTTPS. Paralelamente, el navegador Firefox de Mozilla comenzó a emitir advertencias aún más serias a los usuarios que intentaban enviar información a formularios no protegidas por HTTPS.

http treatment

SSL for SaaS de Cloudflare permite al cliente final de una empresa SaaS continuar usando un dominio personalizado a medida, además de garantizar su comunicación a través de SSL. Entre las ventajas para los clientes finales se incluyen una experiencia de marca para el visitante, una mejora de la confianza, clasificación de optimización del motor de búsqueda y la capacidad de utilizar HTTP/2 para mayores mejoras de la velocidad. Cloudflare automatiza todo el ciclo de vida de SSL, desde la compra hasta la implementación, y para la renovación de certificados, algo que se realiza en cuestión de minutos, permite a las empresas de SaaS ofrecer esta ventaja como parte de su flujo de incorporación de cliente.

Hay tres posibilidades en las que el proveedor SaaS se puede encontrar, al abordar las necesidades de los clientes finales SSL:

ssl for saas scenario 1

Dominio personalizado de marca, pero sin cifrar

Los dominios personalizados sin SSL carecen de ventajas de funcionamiento y transferencia segura de datos, lo que les hace vulnerables a intromisiones y modificaciones o inyecciones de contenido antes de llegar a los visitantes.

ssl for saas scenario 2

Dominio sin marca, pero cifrado

Dominios con SSL activado a través de un proveedor SaaS carecen de un dominio personalizado a medida, lo que provoca una degradación de la marca e inferior puntuación en los rankings de optimización del motor de búsqueda.

ssl for saas scenario 3

La dificultad del enfoque interno

Los proveedores SaaS que quieran dominios personalizados de marca cifrados pueden administrar manualmente los ciclos de vida SSL, lo que provoca plazos de implementación largos y gastos generales, o crear una solución compleja automatizada interna.

"Con SSL para SaaS hemos implementado un flujo más simple, porque la API de Cloudflare se encarga del aprovisionamiento, el servicio, la renovación automática y el mantenimiento de los certificados SSL de nuestros clientes. Además, ahora con el HTTPS de extremo a extremo hemos reforzado la privacidad y el funcionamiento de nuestros clientes, y podemos sacar partido de funciones del navegador como el almacenamiento local, que no podíamos usar antes".
Andrew Murray
Director de tecnología de Olo

Contacta con Cloudflare.

Experiencias de marca de los visitantes

Experiencias de marca de los visitantes

Los proveedores SaaS que ofrecen a los clientes finales la opción de llevar a un dominio personalizado de marca pueden seguir haciéndolo, mientras disfruta de otras ventajas de un certificado SSL totalmente gestionado. Los dominios de marca ofrecen a los clientes finales puntuaciones de optimización del motor de búsqueda más altas y una mayor confianza del visitante.

Activos de clientes seguros y que rinden

Activos de clientes seguros y que rinden

Los certificados SSL/TLS en los dominios de los clientes finales garantizan el transporte seguro de datos confidenciales de clientes, la protección contra ataques de intermediario y espionaje en la red. Además, el protocolo HTTP/2 está disponible para mejoras de la velocidad aún mayores.

Gestión automatizada del ciclo de vida de SSL

Gestión automatizada del ciclo de vida de SSL

Cloudflare gestiona todo el ciclo vital de SSL para el dominio personalizado de clientes de un proveedor SaaS, desde la creación de claves privadas y la protección hasta la validación de dominios, la emisión, la renovación y la reemisión.

Rápidos despliegues SSL globales

Rápidos despliegues SSL globales

Durante el proceso de emisión de SSL, Cloudflare despliega nuevos certificados a través de su red global de centros de datos en 200 ciudades y pone en línea páginas HTTPS en cuestión de minutos, lo más cerca posible de sus visitantes.

Retos del desarrollo de una solución SSL interna

Hay dos caminos que se pueden tomar con el fin de crear una solución SSL interna para los dominios personalizados a medida, los cuales requieren grandes esfuerzos, tanto para el proveedor SaaS como para el cliente final. La ruta automática (superior) del siguiente diagrama automatiza el proceso SSL pero requiere grandes esfuerzos de ingeniería y hacer frente a complejos desafíos de seguridad. La ruta manual (inferior) requiere esfuerzos por parte de los equipos de proveedores de SaaS y de sus clientes finales, con mayores posibilidades de que haya plazos de expiración de certificados perdidos e interrupciones del servicio. Independientemente del camino que se elija, lo más probable es que el funcionamiento se resienta, a menos que los certificados SSL se puedan implementar en una red de distribución mundial a gran escala.

  Solo HTTP CNAME Manualmente cargar certificados Manualmente gestionar certificado ciclos de vida útil Crear y formar contacto del cliente equipo API personalizada integración (por ejemplo, utilizando Let's Encrypt) Hora Ingeniería Esfuerzo Ruta automatizada Ruta manual Como N.º de los sitios web crecen Global certificado distribución red Renovaciones manuales con obligatoriedad de esfuerzo al cliente Avanzado retos Gestionar de forma segura claves de cifrado En curso mantenimiento y siguiente esfuerzos de asistencia Ruta Cloudflare API de Cloudflare sencilla / Integración de la interfaz de usuario

Solo CNAME HTTP

Para empezar, el proveedor SaaS y los clientes finales solo envían y reciben el tráfico HTTP en sus dominios personalizados a medida con CNAME.

Carga certificados manualmente

Para iniciar los procesos de adición de SSL a los dominios personalizados de CNAME, se configura un proceso mediante el cual los clientes compran y envían certificados adquiridos al proveedor de SaaS para cargarlos manualmente.

Gestionar ciclos de vida del certificado manualmente

Cuando se cargan los certificados de los clientes, se requiere gestión manual para manejar el ciclo de vida de dichos certificados. Esto incluye la emisión/protección de claves privadas mediante validación del dominio, emisión, renovación y reemisión.

Crear integración de la API (p. ej., usar Cifrado)

A medida que el número total de sitios web y clientes que utilizan los servicios de un proveedor de SaaS va aumentando, será necesario tomar una decisión: o automatizar el proceso del ciclo de vida de SSL para dominios personalizados, lo que requiere un mayor nivel de esfuerzo de ingeniería, o continuar adaptando la gestión manual del ciclo de vida, que requiere menos esfuerzo de ingeniería pero supone una carga para los equipos internos y los clientes finales.

Manejar claves de cifrado de forma segura

Se requiere que las claves privadas cuenten con almacenamiento seguro, cifrado en reposo, y que nunca se escriban en el disco en texto plano. Cifrar las claves es fácil, pero descifrarlas sobre la marcha es difícil, ya que requiere un esfuerzo manual o un considerable trabajo de ingeniería. Las prácticas recomendadas de gestión de claves privadas se han publicado aquí en OWASP.org. Cloudflare es experto en generación y protección de claves privadas para millones de dominios a través de nuestros productos de SSL universal, certificados dedicados y SSL para SaaS.

Red de distribución de certificados global

Para mitigar las pérdidas de funcionamiento es necesario distribuir sistemáticamente los certificados por todo el mundo, para que estén disponibles lo más cerca posible de los visitantes de tus clientes. Cuanto más lejos deba viajar la solicitud de un visitante final del cliente, más lento será el tiempo de carga de su página. Con TLS 1.2, un protocolo de enlace de TLS inicial requiere 2 viajes de ida y vuelta; si este protocolo de enlace solo puede terminar en unos pocos lugares, el funcionamiento se verá afectado.

Mantenimiento constante y trabajo de asistencia continuo (sistema automatizado)

Para las empresas de SaaS que han elegido un sistema automatizado para desarrollar una solución SSL interna, la mayor parte del mantenimiento consistirá en mantener las bases de código actualizadas y compatibles con las integraciones y estándares de las autoridades de certificación.

Crear y formar a equipo de contacto para clientes

Será necesario que un equipo nuevo o existente de la empresa proveedora de SaaS gestione manualmente los ciclos de vida de los certificados de los clientes finales. Los equipos de atención al cliente deberán contactar con los clientes para ofrecerles información actualizada sobre la caducidad de los certificados y solicitar la renovación de los nuevos certificados.

Renovaciones manuales con esfuerzo de cliente requerido

Los clientes deben participar en el proceso de renovación del certificado, renovando y reenviando estos certificados al equipo encargado de gestionar el proceso de carga. Además, deben llevar a cabo el proceso de renovación antes de que el certificado existente caduque. Si los certificados existentes llegan a caducar, es probable que los activos de Internet del cliente queden fuera de línea a menos que se tomen medidas preventivas.

Red de distribución de certificados global

Para mitigar las pérdidas de funcionamiento es necesario distribuir sistemáticamente los certificados por todo el mundo, para que estén disponibles lo más cerca posible de los visitantes de tus clientes. Cuanto más lejos deba viajar la solicitud de un visitante final del cliente, más lento será el tiempo de carga de su página. Con TLS 1.2, un protocolo de enlace de TLS inicial requiere 2 viajes de ida y vuelta; si este protocolo de enlace solo puede terminar en unos pocos lugares, el funcionamiento se verá afectado.

Mantenimiento constante y trabajo de asistencia continuo (sistema manual)

Para las empresas de SaaS que han elegido el sistema manual para crear una solución SSL interna, la mayor parte del mantenimiento consistirá en trabajo manual constante por parte de los proveedores de SaaS para proteger de forma segura las claves privadas, gestionar los ciclos de vida de los certificados, recordar a los clientes que deben renovarlos y cargar los nuevos certificados; los clientes finales de los proveedores de SaaS tendrán que preocuparse de participar en el proceso del ciclo de vida del certificado, renovando y reenviando los certificados regularmente.

Integración sencilla de la API/UI de Cloudflare

La solución SSL para SaaS de Cloudflare apenas requiere trabajo de ingeniería y elimina la molestia de administrar el ciclo de vida SSL para los proveedores SaaS y sus clientes finales.

¿Cómo funciona SSL for SaaS?

El proceso de SSL para SaaS lo realiza enteramente Cloudflare y solo requiere que los proveedores SaaS envíen una sola llamada API, o bien que hagan unos pocos clics en el panel de control de Cloudflare, como parte de un flujo de trabajo de incorporación de dominios personalizados del cliente final. Después, el proveedor SaaS y los clientes finales solo tienen que añadir el CNAME inicial en el dominio del proveedor SaaS. Cloudflare gestionará completamente el resto del proceso de incorporación de dominios personalizados.

El resto del proceso es gestionado por Cloudflare e incluye:

  • Solicitar a la autoridad de certificación que valide el dominio personalizado del cliente final para la emisión de certificados SSL.
  • Recibir un token de validación de la autoridad de certificación y hacerlo accesible desde el perímetro de Cloudflare.
  • Indicar a la autoridad de certificación que debe completar la validación HTTP y luego solicitar que la autoridad de certificación emita certificados SSL.
  • Recibir certificados y enviarlos al extremo de la red de Cloudflare con centros de datos en 200 ciudades de todo el mundo, lo que optimiza la latencia y el funcionamiento TLS.

Preguntas frecuentes

P: ¿Cómo se envía el tráfico de mis clientes a mi origen? ¿Está protegido?

R: Sí, Cloudflare fomenta que uses el modo SSL completo o estricto para que el tráfico enviado a tu origen utilice HTTPS. Esta opción se puede configurar en la pestaña Crypto de tu zona. Si estás utilizando el modo estricto, tienes que asegurarte de que los certificados de tu origen contengan nombres alternativos de sujeto (SAN) que coincidan con el nombre de host del cliente, por ejemplo, support.yourcustomer.site. Nuestro producto Origin CA se puede utilizar para generar estos certificados y usarlos con el modo estricto.

P: ¿Cuánto tiempo se tarda en emitir un certificado y tenerlo listo para su uso?

A: Los certificados normalmente se validan, se emiten y se envían a nuestro perímetro en unos minutos. Puedes controlar el progreso a través de los diversos estados (inicialización, validación pendiente, emisión pendiente, implementación pendiente, activo) realizando una llamada GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/es-ES/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{ "result": { "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5", "hostname": "support.yourcustomer.site", "ssl": { "id": "3463325d-8116-48f3-ab4e-a75fb9727326", "type": "dv", "method": "http", "status": "active" }}, "success": true }

P: ¿Qué pasa con las renovaciones o las reemisiones? ¿Tenemos que hacer algo yo o mis clientes?

R: No, Cloudflare se ocupa de todo esto por ti. Los certificados que emitimos tienen una validez de un año completo (365 días) y se renovarán automáticamente por lo menos 30 días antes de que caduquen. Estos certificados se emiten de forma exclusiva en el nombre de host de tu cliente y, mientras el CNAME siga en tu sitio, podemos seguir renovando fácilmente mediante la demostración de “control de validación de dominio” de dicho nombre de host. Si el cliente ha cambiado, te recomendamos que envíes a Cloudflare una solicitud de eliminación para que podamos extraer el certificado del perímetro y no realicemos la renovación.

P: ¿De qué ventajas de Cloudflare disfrutarán mis clientes?

R: Con la excepción de la protección de la infraestructura DNS de tus clientes (a menos que también estén usando Cloudflare para servidor de nombres autoritativo), la respuesta corta es: todos ellos. Una vez que tu tráfico se dirige al nombre de host de marca blanca, Cloudflare puede proporcionar una protección DDoS líder del sector, red de entrega de contenido, WAF, HTTP/2, equilibrio de carga y mucho más.

P: ¿Qué pasa si mi cliente ya está utilizando HTTPS en su nombre de host personalizado? ¿Hay alguna forma de evitar el tiempo de inactividad durante la migración?

R: En algunos casos, puede que ya hayas reconstruido una solución propia a partir de material de claves proporcionadas por el cliente. O puede que tu cliente esté utilizando su nombre de host deseado con un competidor (o solución interna) que proporciona HTTPS y no puede tolerar una ventana de mantenimiento corta.

Para estos casos, hemos ampliado los dos métodos alternativos de “prevalidación” disponibles en Dedicated Certificates de nuestra oferta de SSL for SaaS: correo electrónico y CNAME. Basta con cambiar el método SSL en la llamada API anterior de “http” a “email” o “CNAME” y enviar la solicitud. Consulta la documentación de la API para obtener más información.

El otro método alternativo, token CNAME, se utiliza normalmente cuando controlas el DNS para los nombres personalizados (algunos de nuestros clientes de SaaS, especialmente aquellos que ofrecen servicios de creación y alojamiento de sitios web, permiten al dominio personalizado registrarse como parte del flujo de trabajo).

Por último, puede servir el token HTTP devuelto por el método de validación “http” en su origen (en lugar de dejar que Cloudflare lo inserte en el proxy inverso) y nuestra cola de reintento automático lo detectará una vez que esté en su sitio. Si deseas avisar a Cloudflare una vez que esté en su sitio y hacer que vuelva a intentarlo inmediatamente, siempre puedes enviar un parche al punto de conexión con el mismo cuerpo SSL que has enviado durante el envío y nosotros lo comprobaremos de inmediato.

Contacta con Cloudflare.