SSL de Cloudflare para proveedores SaaS

La adopción del cifrado SSL/TLS para las organizaciones en línea se ha convertido en una práctica recomendada de seguridad, y se está convirtiendo cada vez más en un requisito debido a las presiones de las grandes compañías de tecnología que aspiran a construir un Internet más seguro. Por ejemplo, el navegador web Google Chrome empezó a etiquetar visiblemente los sitios web que no utilizaban HTTPS como «No seguro» para sus usuarios a finales de 20161. Paralelamente, el navegador web FireFox de Mozilla comenzó a emitir advertencias aún más graves a los usuarios que intentaban enviar formularios de información no protegidos por HTTPS2.

Tratamiento de páginas HTTP por Chrome 68

SSL para SaaS de Cloudflare permite al cliente final de una empresa SaaS seguir usando un dominio personal a medida, además de garantizar su comunicación a través de SSL. Entre las ventajas para los clientes finales se incluyen una experiencia de marca para el visitante, mejora de la confianza, clasificación de SEO y la capacidad de utilizar HTTP/2 para mayores mejoras de la velocidad. Cloudflare automatiza todo el ciclo de vida de SSL, desde la compra hasta la implementación, y para la renovación de certificados, algo que se realiza en cuestión de minutos, permite a las empresas de SaaS ofrecer esta ventaja como parte de su flujo de incorporación de cliente.

¡Háblemos!

Hay tres posibilidades en las que el proveedor SaaS se puede encontrar al abordar las necesidades de los clientes finales SSL:

Dominio de vanidad sin cifrar pero con marca

Los dominios personales sin SSL carecen de ventajas de funcionamiento y transferencia segura de datos, lo que les hace vulnerables a intromisiones y modificaciones o inyecciones de contenido antes de llegar a los visitantes.

Dominio cifrado pero sin marca

Los dominios con SSL activado a través de un proveedor SaaS carecen de un dominio personal a medida, lo que provoca una degradación de la marca e inferior puntuación en los rankings SEO.

Planteamiento interno complicado

Los proveedores SaaS que quieren dominios de vanidad de marca cifrados pueden gestionar los ciclos de vida de SSL manualmente, lo que resulta en largos tiempos de implementación y gastos adicionales, o la creación de una compleja solución interna automatizada.

«Con SSL para SaaS hemos implementado un flujo más simple porque la API de Cloudflare gestiona el aprovisionamiento, servicio, renovación automatizada y mantenimiento de los certificados SSL de nuestros clientes. Además, el HTTPS de extremo a extremo ahora significa que hemos reforzado la privacidad y el funcionamiento para nuestros clientes, y podemos aprovechar características del navegador como el almacenamiento local, que antes no podíamos utilizar».
Andrew Murray
CTO de Olo

¿Listo para optimizar el funcionamiento y la seguridad de su oferta de SaaS?

Póngase en contacto con Cloudflare.

Cloudflare Argo avoids congestion

Experiencias de los visitantes de marca

Los proveedores SaaS que ofrecen a los clientes finales la opción de llevar a un dominio personalizado de marca pueden seguir haciéndolo, mientras disfrutan de las ventajas de un certificado SSL totalmente gestionado. Los dominios de marca ofrecen a los clientes finales puntuaciones de SEO más altas y una mayor confianza del visitante.

Cloudflare Argo reuses connections

Activos de clientes seguros y efectivos

Los certificados SSL/TLS en los dominios de los clientes finales garantizan el transporte seguro de datos confidenciales de clientes, la protección contra ataques de intermediarios y espionaje en la red. Además, el protocolo HTTP/2 está disponible para mejoras de la velocidad aún mayores.

Cloudfare Argo works on Cloudflare's private network

Gestión automatizada del ciclo de vida de SSL

Cloudflare gestiona todo el ciclo de vida SSL para un dominio de vanidad de clientes de un proveedor SaaS, desde la creación y protección de claves privadas hasta la validación, emisión, renovación y reemisión de dominios.

Cloudflare Argo tiered caching

Rápidos despliegues SSL globales

Durante el proceso de emisión de SSL, Cloudflare despliega nuevos certificados a través de su red global de 155 centros de datos, con el fin de servir páginas HTTPS en línea en cuestión de minutos, lo más cerca posible de sus visitantes.

Retos de la construcción de una solución SSL interna

Hay dos caminos que se pueden tomar con el fin de crear una solución SSL interna para los dominios de vanidad a medida, los cuales requieren grandes esfuerzos, tanto para el proveedor SaaS como para el cliente final. La ruta automática (superior) del siguiente diagrama automatiza el proceso SSL pero requiere grandes esfuerzos de ingeniería y hacer frente a complejos desafíos de seguridad. La ruta manual (inferior) requiere esfuerzos por parte de los equipos de proveedores SaaS y de sus clientes finales, con mayores posibilidades de que no se cumplan los plazos de caducidad e interrupciones del servicio. Independientemente del camino que se elija, lo más probable es que el funcionamiento se resienta, a menos que los certificados SSL se puedan implementar en una red de distribución mundial a gran escala.

Solo HTTP CNAME Cargar manualmente los certificados Gestionar manualmente los ciclos de vida del certificado Crear y formar al equipo de contacto para clientes API personalizada de la API personalizada (ej., con Let's Encrypt) Hora Ingeniería Esfuerzo Ruta automatizada Ruta manual Como # de los sitios web crecen Red global de distribución de certificados Renovaciones manuales con esfuerzo de cliente requerido Retos avanzados Gestionar las claves de cifrado de forma segura Mantenimiento y esfuerzos de asistencia continuos Ruta Cloudflare API de Cloudflare sencilla/ Integración de IU

Solo CNAME HTTP

Para empezar, el proveedor SaaS y los clientes finales solo envían y reciben el tráfico HTTP en sus dominios de vanidad personalizados con CNAME.

¿Cómo funciona SSL para SaaS?

El proceso de SSL para SaaS lo realiza enteramente Cloudflare y solo requiere que los proveedores de SaaS envíen una sola llamada API, o bien que hagan unos pocos clics en el panel de control de Cloudflare, como parte de un flujo de trabajo de incorporación de dominios personalizados de cliente final. Después de esto, el proveedor SaaS y los clientes finales solo tienen que añadir el CNAME inicial en el dominio del proveedor SaaS. Cloudflare gestionará el resto del proceso de incorporación de dominios personalizados.

El resto de este proceso lo administra Cloudflare e incluye lo siguiente:

  • Solicitar a la autoridad de certificación que valide el dominio personalizado del cliente final para la emisión de certificados SSL.
  • Recibe un token de validación de la autoridad de certificado y lo hace accesible desde el perímetro de Cloudflare.
  • Indica a la autoridad de certificado que debe completar la validación HTTP y, a continuación, solicita a la autoridad de certificado que emita certificados SSL.
  • Recibe certificados y los envía al extremo de la red de Cloudflare de más de 155 centros de datos en todo el mundo, lo que optimiza la latencia y el funcionamiento TLS.

Preguntas frecuentes

P: ¿Cómo se envía el tráfico de mis clientes a mi origen? ¿Está protegido?

R: Sí, Cloudflare le anima a utilizar el modo SSL completo o estricto para que el tráfico enviado a su origen utilice HTTPS. Esta opción se puede configurar en la pestaña de cifrado de su zona. Si está utilizando el modo estricto, tiene que asegurarse de que los certificados de su origen contengan nombres alternativos del sujeto (SAN) que coincidan con el nombre de host del cliente, por ejemplo: support.yourcustomer.site. Nuestro producto CA de origen se puede utilizar para generar estos certificados para utilizar con el modo estricto.

P: ¿Cuánto tiempo se tarda en emitir un certificado y tenerlo listo para su uso?

R: Los certificados normalmente se validan, emiten y envían a nuestro perímetro en unos minutos. Puede controlar el progreso a través de los diversos estados (inicialización, validación pendiente, emisión pendiente, implementación pendiente, activo) realizando una llamada GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

P: ¿Qué pasa con las renovaciones o las reemisiones? ¿Tenemos que hacer algo mis clientes o yo?

R: No, Cloudflare se ocupa de todo esto por usted. Los certificados que emitimos tienen una validez de un año completo (365 días) y se renovarán automáticamente por lo menos 30 días antes de su vencimiento. Estos certificados se emiten de forma exclusiva en el nombre de host de su cliente y, mientras el CNAME siga en su sitio, podemos seguir renovando fácilmente mediante la demostración de «control de validación de dominio» de dicho nombre de host. Si el cliente ha cambiado, le recomendamos que envíe a Cloudflare una solicitud de eliminación para que podamos extraer el certificado del perímetro y no realicemos la renovación.

P: ¿De qué ventajas de Cloudflare disfrutarán mis clientes?

R: Con la excepción de la protección de la infraestructura DNS de sus clientes (a menos que también estén usando Cloudflare para el servicio de nombres de autoridad), la respuesta corta es: todos ellos. Una vez que su tráfico se dirige al nombre de host de marca blanca, Cloudflare puede proporcionar una protección DDoS líder del sector, CDN, WAF, HTTP/2, equilibrio de carga y mucho más.

P: ¿Qué pasa si mi cliente ya está utilizando HTTPS en su nombre de host personalizado? ¿Hay alguna forma de evitar el tiempo de inactividad durante la migración?

R: En algunos casos, puede que ya haya reconstruido una solución propia a partir de material de claves proporcionadas por el cliente. O puede que su cliente esté utilizando su nombre de host deseado con un competidor (o solución interna) que proporciona HTTPS y no puede tolerar una ventana de mantenimiento corta.

Para estos casos, hemos ampliado los dos métodos alternativos de «prevalidación» disponibles en certificados exclusivos de nuestra oferta de SSL para SaaS: correo electrónico y CNAME. Basta con cambiar el método SSL en la llamada API anterior de «http» a «correo electrónico» o «CNAME» y enviar la solicitud. Consulte la documentación de la API para obtener más información.

El otro método alternativo, token CNAME, se utiliza normalmente cuando controla el DNS para los nombres personalizados (algunos de nuestros clientes de SaaS, especialmente aquellos que ofrecen servicios de creación y alojamiento de sitios web, permiten al dominio personalizado registrarse como parte del flujo de trabajo).

Por último, puede servir el token HTTP devuelto por el método de validación «http» en su origen (en lugar de dejar que Cloudflare lo inserte en el proxy inverso) y nuestra cola de reintento automático lo detectará una vez que esté en su sitio. Si desea avisar a Cloudflare una vez que esté en su sitio y hacer que vuelva a intentarlo inmediatamente, siempre puede enviar un parche al punto de conexión con el mismo cuerpo SSL que ha enviado durante el envío y nosotros lo comprobaremos de inmediato.

¿Listo para optimizar el funcionamiento y la seguridad de su oferta SaaS?

Póngase en contacto con Cloudflare.