SSL de Cloudflare para proveedores SaaS

La adopción del cifrado SSL/TLS para las organizaciones en línea se ha convertido en una práctica recomendada de seguridad, y se está convirtiendo cada vez más en un requisito debido a las presiones de las grandes compañías de tecnología que aspiran a construir una Internet más segura. Por ejemplo, el navegador web Google Chrome empezó a etiquetar visiblemente los sitios web que no utilizaban HTTPS como «No seguro» para sus usuarios a finales de 20161. Paralelamente, el navegador web FireFox de Mozilla comenzó a emitir advertencias aún más graves a los usuarios que intentaban enviar formularios de información no protegidos por HTTPS2.

Tratamiento de páginas HTTP por Chrome 68

SSL para SaaS de Cloudflare permite al cliente final de una empresa SaaS continuar usando un dominio de vanidad presonalizado, además de garantizar su comunicación a través de SSL. Entre las ventajas para los clientes finales se incluyen una experiencia de marca para el visitante, la mejora de la confianza, clasificación de SEO y la capacidad de utilizar HTTP/2 para obtener mejoras en la velocidad. Cloudflare automatiza todo el ciclo de vida de SSL, desde la compra hasta la implementación, y la renovación de certificados, algo que se realiza en cuestión de minutos, y que permite a las empresas de SaaS ofrecer esta ventaja como parte de su flujo de incorporación de clientes.

¡Háblenos!

Hay tres posibilidades en las que el proveedor de SaaS se puede encontrar, al abordar las necesidades de los clientes finales de SSL:

Dominio personal sin cifrar pero con marca

Los dominios personales sin SSL carecen de ventajas de rendimiento y transferencia segura de datos, lo que les hace vulnerables a intromisiones y modificaciones o inyecciones de contenido antes de llegar a los visitantes.

Dominio cifrado pero sin marca

Los dominios con SSL activado a través de un proveedor de SaaS carecen de un dominio de vanidad personalizado, lo que provoca una degradación de la marca e inferior puntuación en los rankings SEO.

Planteamiento interno complicado

Los proveedores de SaaS que quieran dominios personales de marca cifrados pueden administrar manualmente los ciclos de vida SSL, lo que provoca plazos de implementación largos y gastos generales, o crear una solución compleja automatizada interna.

«Con SSL para SaaS hemos implementado un flujo más simple porque la API de Cloudflare gestiona el aprovisionamiento, servicio, renovación automatizada y mantenimiento de los certificados SSL de nuestros clientes. Además, el HTTPS de extremo a extremo ahora significa que hemos reforzado la privacidad y el rendimiento para nuestros clientes, y podemos aprovechar características del navegador, como el almacenamiento local, que antes no podíamos utilizar».
Andrew Murray
Director de tecnología de Olo

¿Listo para optimizar el rendimiento y la seguridad de su oferta SaaS?

Ponte en contacto con Cloudflare.

Cloudflare Argo avoids congestion

Experiencias de los visitantes de marca

Los proveedores de SaaS que ofrecen a los clientes finales la opción de llevar a un dominio personalizado de marca pueden seguir haciéndolo, mientras disfruta los beneficios adicionales de contar con un certificado SSL totalmente administrado. Los dominios de marca ofrecen a los clientes finales puntuaciones de SEO más altas y una mayor confianza del visitante.

Cloudflare Argo reuses connections

Los recursos de los clientes están seguros y en funcionamiento

Los certificados SSL/TLS en los dominios de los clientes finales garantizan el transporte seguro de datos confidenciales de clientes, la protección contra ataques de tipo man-in-the-middle y espionaje en la red. Además, el protocolo HTTP/2 está disponible para mejoras de la velocidad aún mayores.

Cloudfare Argo works on Cloudflare's private network

Gestión automatizada del ciclo de vida de SSL

Cloudflare gestiona todo el ciclo vital de SSL para el dominio personal de los clientes de un proveedor de SaaS, desde la creación de claves privadas y la protección hasta la validación de dominios, la emisión, la renovación y la reemisión.

Cloudflare Argo tiered caching

Rápidos despliegues SSL globales

Durante el proceso de emisión de SSL, Cloudflare despliega nuevos certificados a través de su red global de 155 centros de datos, poniendo en línea páginas HTTPS en cuestión de minutos, lo más cerca posible de sus visitantes.

Retos de la construcción de una solución SSL interna

Hay dos caminos que se pueden tomar con el fin de crear una solución SSL interna para los dominios personales a medida, y ambos requieren grandes esfuerzos, tanto para el proveedor de SaaS como para el cliente final. La ruta automática (superior) del siguiente diagrama automatiza el proceso SSL pero requiere grandes esfuerzos de ingeniería y hacer frente a complejos desafíos de seguridad. La ruta manual (inferior) requiere esfuerzos por parte de los equipos de proveedores de SaaS y de sus clientes finales, con mayores posibilidades de que se alcancen los plazos de expiración de los certificados y que haya interrupciones del servicio. Independientemente del camino que se elija, lo más probable es que el rendimiento se resienta, a menos que los certificados SSL se puedan implementar en una red de distribución mundial a gran escala.

Solo HTTP CNAME Cargar certificados manualmente Gestionar manualmente los ciclos de vida del certificado Crear y formar un equipo de contacto para clientes API personalizada integración (por ejemplo, utilizando Let's Encrypt) Tiempo Esfuerzo de ingeniería Ruta automatizada Ruta manual A medida que el número de sitios web aumenta Red global de distribución de certificados Renovaciones manuales que requieren esfuerzo al cliente Retos avanzados Gestionar en forma segura las claves de cifrado Mantenimiento permanente y esfuerzos de asistencia continuos Ruta Cloudflare Fácil integración de la API de Cloudflare / Interfaz de usuario

CNAME solo para HTTP

Para empezar, el proveedor de SaaS y los clientes finales solo envían y reciben el tráfico HTTP en sus dominios personales a medida con CNAME.

¿Cómo funciona SSL para SaaS?

El proceso de SSL para SaaS lo realiza enteramente Cloudflare y solo requiere que los proveedores de SaaS envíen una sola llamada API, o bien que hagan unos pocos clics en el panel de Cloudflare, como parte de un flujo de trabajo de incorporación de dominios personalizados de cliente final. Después de esto, el proveedor de SaaS y los clientes finales solo tienen que añadir el CNAME inicial en el dominio del proveedor de SaaS. Cloudflare gestionará el resto del proceso de incorporación de dominios personalizados.

El resto de este proceso lo administra Cloudflare e incluye lo siguiente:

  • Solicita a la autoridad de certificación que valide el dominio personalizado del cliente final para la emisión de certificados SSL.
  • Recibe un token de validación de la autoridad de certificación y lo hace accesible desde el perímetro de Cloudflare.
  • Indica a la autoridad de certificación que debe completar la validación HTTP y, a continuación, solicita a la autoridad de certificación que emita certificados SSL.
  • Recibe certificados y los envía al extremo de la red de Cloudflare de más de 155 centros de datos en todo el mundo, lo que optimiza la latencia y el funcionamiento TLS.

Preguntas frecuentes

P: ¿Cómo se envía el tráfico de mis clientes a mi origen? ¿Está protegido?

R: Sí, Cloudflare te anima a utilizar el modo SSL completo o estricto para que el tráfico enviado a tu origen utilice HTTPS. Esta opción se puede configurar en la pestaña de cifrado de tu zona. Si estás utilizando el modo estricto, tienes que asegurarte de que los certificados de tu origen contengan nombres alternativos del sujeto (SAN) que coincidan con el nombre de host del cliente, por ejemplo: support.yourcustomer.site. Nuestro producto CA de origen se puede utilizar para generar estos certificados para utilizarlos con el modo estricto.

P: ¿Cuánto tiempo se tarda en emitir un certificado y tenerlo listo para su uso?

A: Los certificados normalmente se validan, emiten y envían a nuestro perímetro en unos minutos. Puedes observar el progreso a través de los diversos estados (inicialización, validación pendiente, emisión pendiente, implementación pendiente, activo) realizando una llamada GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

P: ¿Qué pasa con las renovaciones o las reemisiones? ¿Tenemos que hacer algo yo o mis clientes?

R: No, Cloudflare se ocupa de todo esto por ti. Los certificados que emitimos tienen una validez de un año completo (365 días) y se renovarán automáticamente por lo menos 30 días antes de su vencimiento. Estos certificados se emiten de forma exclusiva en el nombre de host de tu cliente y, mientras el CNAME siga en su sitio, podemos seguir renovando fácilmente mediante la demostración de “control de validación de dominio” de dicho nombre de host. Si el cliente ha cambiado, te recomendamos que envíes a Cloudflare una solicitud de eliminación para que podamos extraer el certificado del perímetro y no realicemos la renovación.

P: ¿De qué ventajas de Cloudflare disfrutarán mis clientes?

R: Con la excepción de la protección de la infraestructura DNS de tus clientes (a menos que también estén usando Cloudflare para servicio de nombres autoritativo), la respuesta corta es: todos ellos. Una vez que su tráfico se dirige al nombre de host de marca blanca, Cloudflare puede proporcionar una protección DDoS que es líder del sector, CDN, WAF, HTTP/2, equilibrio de carga y mucho más.

P: ¿Qué pasa si mi cliente ya está utilizando HTTPS en su nombre de host personalizado? ¿Hay alguna forma de evitar el tiempo de inactividad durante la migración?

R: En algunos casos, puede que ya hayas reconstruido una solución propia a partir de material clave proporcionado por el cliente. O puede que tu cliente esté utilizando su nombre de host deseado con un competidor (o solución interna) que proporciona HTTPS y no puede tolerar una ventana de mantenimiento corta.

Para estos casos, hemos ampliado los dos métodos alternativos de “prevalidación” disponibles para los certificados dedicados de nuestra oferta de SSL para SaaS: correo electrónico y CNAME. Basta con cambiar el método SSL en la llamada API anterior de “http” a “email” o “CNAME” y enviar la solicitud. Consulta la documentación de la API para obtener más información.

El otro método alternativo, token CNAME, se utiliza normalmente cuando controlas el DNS para los nombres personalizados (algunos de nuestros clientes de SaaS, especialmente aquellos que ofrecen servicios de creación y alojamiento de sitios web, permiten registrar el dominio personalizado como parte del flujo de trabajo).

Por último, puedes servir el token HTTP devuelto por el método de validación “http” en tu origen (en lugar de dejar que Cloudflare lo inserte en el proxy inverso) y nuestra cola de reintento automático lo detectará una vez que esté en su sitio. Si deseas avisar a Cloudflare una vez que esté en su sitio y hacer que vuelva a intentarlo inmediatamente, siempre puedes enviar un parche al punto de conexión con el mismo cuerpo SSL que enviaste en POST y nosotros lo comprobaremos de inmediato.

¿Listo para optimizar el rendimiento y la seguridad de tu oferta SaaS?

Ponte en contacto con Cloudflare.