Cloudflare SSL para proveedores de SaaS

La adopción de la encriptación SSL/TLS para organizaciones en línea se ha convertido en una buena práctica de seguridad y se está convirtiendo en un requisito debido a las presiones de grandes empresas de tecnología para crear una Internet más segura. Por ejemplo, el navegador web Google Chrome comenzó a etiquetar de forma visible los sitios web que no usan HTTPS como "No seguros" para sus usuarios a finales de 20161. De forma paralela, el navegador web FireFox de Mozilla comenzó a emitir advertencias aún más graves a los usuarios que intentan enviar información en formas no protegidas por HTTPS.2

http treatment

SSL para SaaS de Cloudflare permite al cliente final de una empresa SaaS continuar usando un dominio personalizado a medida, mientras garantiza su comunicación a través de SSL. Entre las ventajas para los clientes finales, se incluyen la experiencia de marca para el visitante, la mejora de la confianza, la clasificación de la optimización de motores de búsqueda (SEO) y la capacidad de utilizar HTTP/2 para mayores mejoras de la velocidad. Cloudflare automatiza todo el ciclo de vida de SSL, desde la compra hasta la implementación, y para la renovación de certificados, algo que se realiza en cuestión de minutos, y permite a las empresas de SaaS ofrecer esta ventaja como parte de su flujo de incorporación de clientes.

Hay tres escenarios en los que el proveedor de SaaS se puede encontrar cuando aborda las necesidades SSL de los clientes finales:

ssl for saas scenario 1

Dominio personalizado sin encriptar pero con marca

Los dominios personalizados sin SSL carecen de ventajas de rendimiento y transferencia segura de datos, lo que los hace vulnerables a intromisiones y modificaciones o inyecciones de contenido antes de llegar a los visitantes.

ssl for saas scenario 2

Dominio encriptado pero sin marca

Los dominios con SSL activado a través de un proveedor de SaaS carecen de un dominio personalizado a medida, lo que provoca una degradación de la marca y una puntuación inferior en los rankings de optimización de motores de búsqueda (SEO).

ssl for saas scenario 3

La dificultad del enfoque interno

Los proveedores de SaaS que quieran dominios personalizados de marca encriptados pueden administrar manualmente los ciclos de vida de SSL, lo que provoca plazos de implementación largos y sobrecarga de costos, o crear una compleja solución automatizada interna.

"Con SSL para SaaS hemos implementado un flujo más simple, porque la API de Cloudflare gestiona el aprovisionamiento, el servicio, la renovación automatizada y el mantenimiento de los certificados SSL de nuestros clientes. Además, el HTTPS de extremo a extremo ahora significa que hemos reforzado la privacidad y el rendimiento para nuestros clientes, y podemos aprovechar las características del navegador como el almacenamiento local, que antes no podíamos utilizar".
Andrew Murray
CTO de Olo

Comunícate con Cloudflare.

Experiencias de los visitantes de marca

Experiencias de los visitantes de marca

Los proveedores de SaaS que ofrecen a los clientes finales la opción de llevar un dominio personalizado de marca pueden seguir haciéndolo, mientras disfrutan de otras ventajas de un certificado SSL totalmente gestionado. Los dominios de marca ofrecen a los clientes finales puntuaciones de optimización de motores de búsqueda (SEO) más altas y una mayor confianza del visitante.

Activos de clientes seguros y que rinden

Activos de clientes seguros y que rinden

Los certificados SSL/TLS en los dominios de los clientes finales garantizan el transporte seguro de los datos confidenciales de los clientes, la protección contra los ataques de intermediario y espionaje en la red. Además, el protocolo HTTP/2 está disponible para mejoras de la velocidad aún mayores.

Gestión automatizada del ciclo de vida de SSL

Gestión automatizada del ciclo de vida de SSL

Cloudflare gestiona todo el ciclo de vida de SSL para el dominio personalizado de los clientes de un proveedor de SaaS, desde la creación de claves privadas y la protección hasta la validación de dominios, la emisión, la renovación y la reemisión.

Implementación global rápida de SSL

Implementación global rápida de SSL

Durante el proceso de emisión de SSL, Cloudflare implementa nuevos certificados en toda su red global de centros de datos en 200 ciudades, lo que permite poner en línea el HTTPS en cuestión de minutos, lo más cerca posible de los visitantes.

Retos de la construcción de una solución SSL interna

Hay dos caminos que se pueden tomar con el fin de crear una solución SSL interna para los dominios personalizados a medida, los cuales requieren grandes esfuerzos, tanto para el proveedor de SaaS como para el cliente final. La ruta automática (superior) del siguiente diagrama automatiza el proceso SSL, pero requiere grandes esfuerzos de ingeniería y hacer frente a complejos desafíos de seguridad. La ruta manual (inferior) requiere esfuerzos por parte de los equipos de proveedores de SaaS y de sus clientes finales, con mayores posibilidades de que haya plazos de expiración de certificados perdidos e interrupciones del servicio. Independientemente del camino que se elija, lo más probable es que el rendimiento se resienta, a menos que los certificados SSL se puedan implementar en una red de distribución mundial a gran escala.

  Solo HTTP CNAME Manualmente carga certificados Manualmente gestionar certificado ciclos de vida Crear y capacitar contacto del cliente equipo API personalizada integración (p. ej., con Let's Encrypt) Hora Ingeniería Esfuerzo Ruta automatizada Ruta manual Como el n.º de los sitios web crece Global certificado distribución red Renovaciones manuales que requieren un esfuerzo del cliente Retos avanzados Gestionar de forma segura las claves de encripción Mantenimiento en curso y esfuerzos de soporte continuos Ruta de Cloudflare API de Cloudflare sencilla / Integración de la IU

Solo HTTP de CNAME

Para empezar, los clientes finales del proveedor de SaaS solo envían y reciben el tráfico HTTP en sus dominios personalizados a medida de CNAME.

Carga manual de certificados

Para iniciar los procesos de adición de SSL a los dominios personalizados de CNAME, se configura un proceso mediante el cual los clientes compran y envían los certificados adquiridos al proveedor de SaaS para cargarlos en forma manual.

Gestionar los ciclos de vida de los certificados manualmente

Al cargar los certificados del cliente, se requiere una gestión manual para administrar el ciclo de vida de estos certificados. Esto incluye la emisión/protección de la clave privada mediante la validación, emisión, renovación y reemisión del dominio.

Crear la integración de la API (p. ej., con Let's Encrypt)

A medida que la cantidad total de sitios web y clientes que utilizan los servicios de un proveedor de SaaS comienza a aumentar, será necesario tomar una decisión: automatizar el proceso del ciclo de vida de SSL para los dominios personalizados, lo que exige una tarea de ingeniería de mayor nivel, o continuar creando una gestión manual del ciclo de vida, que exige una menor tarea de ingeniería, pero supone una mayor carga para los equipos internos y los clientes finales .

Manejar las claves de encripción de forma segura

Las claves privadas deben estar almacenadas de manera segura, tener encriptación estática y nunca se deben escribir en el disco en texto sin formato. La encriptación de claves es sencilla, pero la desencriptación sobre la marcha no lo es, ya que requiere un tarea manual o una considerable tarea de ingeniería. Las mejores prácticas para la gestión de claves privadas se han publicado aquí en OWASP.org. En Cloudflare, somos expertos en generar y proteger claves privadas para millones de dominios a través de nuestros productos Universal SSL, certificado exclusivo y SSL para SaaS.

Red global de distribución de certificados

Se requiere una distribución sistemática de certificados en todo el mundo, y ponerlos a disposición lo más cerca posible de los visitantes de los clientes, para mitigar las pérdidas de rendimiento. Cuanto más largo sea el trayecto que debe recorrer la solicitud de un visitante final del cliente, más lentos serán los tiempos de carga de su página. Con TLS 1.2, un intercambio inicial de señales para la transferencia de datos de TLS exige 2 recorridos de ida y vuelta; si este intercambio solo puede terminar en unos pocos lugares, el rendimiento se verá afectado.

Mantenimiento y esfuerzos de soporte continuos (ruta automatizada)

Para las empresas proveedoras de SaaS que han elegido un enfoque automatizado para crear una solución SSL interna, la mayor parte del mantenimiento consiste en mantener las bases de código actualizadas y compatibles con las integraciones y los estándares de las autoridades de certificación.

Crear un equipo de contacto para clientes y capacitarlo

Será necesario un equipo nuevo o existente dentro de la empresa proveedora de SaaS para gestionar, de forma manual, los ciclos de vida de los certificados para los clientes finales. Los equipos de contacto con el cliente deberán comunicarse con los clientes para ofrecerles información actualizada sobre el vencimiento de los certificados y solicitarles la renovación de los certificados.

Renovaciones manuales que requieren un esfuerzo del cliente

Los clientes deben participar en el proceso de renovación del certificado. Para ello, deben renovar y reenviar estos certificados al equipo que gestiona el proceso de carga. Además, deben cumplir con este proceso de renovación antes de que caduque el certificado existente. Si los certificados existentes caducan, es probable que los activos de Internet del cliente queden fuera de línea, salvo que se tomen medidas preventivas.

Red global de distribución de certificados

Se requiere una distribución sistemática de certificados en todo el mundo, y ponerlos a disposición lo más cerca posible de los visitantes de los clientes, para mitigar las pérdidas de rendimiento. Cuanto más largo sea el trayecto que debe recorrer la solicitud de un visitante final del cliente, más lentos serán los tiempos de carga de su página. Con TLS 1.2, un intercambio inicial de señales para la transferencia de datos de TLS exige 2 recorridos de ida y vuelta; si este intercambio solo puede terminar en unos pocos lugares, el rendimiento se verá afectado.

Mantenimiento y tareas de soporte continuos (ruta manual)

Para las empresas proveedoras de SaaS que han elegido el enfoque manual para crear una solución SSL interna, la mayor parte del mantenimiento consiste en tareas manuales continuas por parte de los proveedores de SaaS para proteger, de forma segura, las claves privadas, gestionar los ciclos de vida útil de los certificados, y recordar a los clientes que deben renovar y volver a cargar los nuevos certificados. Los clientes finales de los proveedores de SaaS tendrán que participar del proceso del ciclo de vida del certificado, para lo cual deben renovar y volver a enviar los certificados con un ritmo regular .

Fácil integración de API/IU de Cloudflare

La solución SSL para SaaS de Cloudflare exige una tarea mínima de ingeniería y elimina la gestión del ciclo de vida de SSL tanto para los proveedores de SaaS como para sus clientes finales.

¿Cómo funciona SSL para SaaS?

El proceso de SSL para SaaS lo hace enteramente Cloudflare y solo requiere que los proveedores de SaaS envíen una sola llamada API, o bien que hagan unos clics en el panel de Cloudflare, como parte de un flujo de trabajo de incorporación de dominios personalizados de cliente final. Después de esto, el proveedor de SaaS y los clientes finales solo tienen que añadir el CNAME inicial en el dominio del proveedor de SaaS. Cloudflare gestiona el resto del proceso de incorporación de dominios personalizados.

Cloudflare gestiona el resto de este proceso e incluye lo siguiente:

  • Solicitar a la autoridad de certificación que valide el dominio personalizado del cliente final para la emisión del certificado SSL.
  • Recibir un token de validación de la autoridad de certificación y hacerlo accesible desde el perímetro de Cloudflare.
  • Indicar a la autoridad de certificación que complete la validación HTTP y luego solicitar que la autoridad de certificación emita certificados SSL.
  • Recibir certificados y enviarlos al perímetro de la red de Cloudflare de centros de datos en 200 ciudades del mundo, lo que optimiza la latencia y el rendimiento de TLS.

Preguntas frecuentes

P: ¿Cómo se envía el tráfico de mis clientes a mi origen? ¿Está protegido?

R: Sí, Cloudflare te anima a usar el modo SSL completo o estricto para que el tráfico enviado a su origen utilice HTTPS. Esta opción se puede configurar en la pestaña Crypto de tu zona. Si estás utilizando el modo estricto, tienes que asegurarte de que los certificados de tu origen contengan nombres alternativos del sujeto (SAN) que coincidan con el nombre de host del cliente, por ejemplo, support.yourcustomer.site. Nuestro producto Origin CA se puede utilizar para generar estos certificados con el modo estricto.

P: ¿Cuánto tiempo se tarda en emitir un certificado y tenerlo listo para su uso?

R: Los certificados normalmente se validan, emiten y envían a nuestro perímetro en unos minutos. Puede controlar el progreso a través de los diversos estados (inicialización, validación pendiente, emisión pendiente, implementación pendiente, activo) realizando una llamada GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
"result": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"type": "dv",
"method": "http",
"status": "active"
}
},
"success": true
}

P: ¿Qué sucede con las renovaciones o las reemisiones? ¿Mis clientes o yo tenemos que hacer algo?

R: No, Cloudflare se ocupa de todo esto por ti. Los certificados que emitimos tienen una validez de un año completo (365 días) y se renovarán automáticamente, por lo menos, 30 días antes de su vencimiento. Estos certificados se emiten, de forma exclusiva, con el nombre de host de su cliente y, mientras el CNAME siga en su sitio, podemos seguir renovándolo fácilmente mediante la demostración de “control de validación de dominio” de ese nombre de host. Si el cliente lo ha cambiado, te recomendamos que envíes a Cloudflare una solicitud de ELIMINACIÓN para que podamos extraer el certificado del perímetro y no realicemos la renovación.

P: ¿De qué ventajas de Cloudflare disfrutarán mis clientes?

R: Con la excepción de la protección de la infraestructura DNS de tus clientes (a menos que también estén usando Cloudflare para servicio de nombres autoritativo), la respuesta corta es: todos ellos. Una vez que su tráfico se dirige al nombre de host de etiqueta blanca, Cloudflare puede proporcionar una protección DDoS líder del sector, CDN, WAF, HTTP/2, equilibrio de carga y mucho más.

P: ¿Qué pasa si mi cliente ya está utilizando HTTPS en su nombre de host personalizado? ¿Hay alguna forma de evitar el tiempo de inactividad durante la migración?

R: En algunos casos, puede que ya haya reconstruido una solución propia a partir de material de clave proporcionado por el cliente. O puede que tu cliente esté utilizando su nombre de host deseado con un competidor (o solución interna) que proporciona HTTPS y no puede tolerar una ventana de mantenimiento corta.

Para estos casos, hemos ampliado los dos métodos alternativos de “prevalidación” disponibles para los certificados dedicados de nuestra oferta de SSL para SaaS: correo electrónico y CNAME. Basta con cambiar el método SSL en la llamada API anterior de “http” a “correo electrónico” o “CNAME”, y enviar la solicitud. Consulta la documentación de la API para obtener más información.

El otro método alternativo, token CNAME, se utiliza normalmente cuando controla el DNS para los nombres personalizados (algunos de nuestros clientes de SaaS, especialmente aquellos que ofrecen servicios de creación y alojamiento de sitios web, permiten al dominio personalizado registrarse como parte del flujo de trabajo).

Por último, puedes servir el token HTTP devuelto por el método de validación “http” en tu origen (en lugar de dejar que Cloudflare lo inserte en el proxy inverso) y nuestra cola de reintento automático lo detectará una vez que esté en su sitio. Si deseas avisar a Cloudflare una vez que esté en su sitio y hacer que vuelva a intentarlo inmediatamente, siempre puedes enviar un PARCHE al punto de conexión con el mismo cuerpo SSL que has enviado durante la PUBLICACIÓN y nosotros lo comprobaremos de inmediato.

Comunícate con Cloudflare.