SSL Cloudflare pour les fournisseurs SaaS

L'adoption du chiffrement SSL/TLS est devenue l'une des bonnes pratiques en matière de sécurité pour les organisations en ligne. Et avec les efforts déployés par les géants de la technologie pour construire un Internet plus sûr, elle est de plus en plus souvent considérée comme une nécessité. À la fin de l'année 2016, par exemple, le navigateur Web Google Chrome a commencé à signaler les sites Web n'utilisant pas HTTPS comme « Non sécurisés » à ses utilisateurs.1 En parallèle, le navigateur Web Mozilla Firefox a commencé à émettre des avertissements encore plus sérieux aux utilisateurs qui tentent de soumettre des formulaires d'informations non protégés par HTTPS.2

Traitement des pages HTTP par Chrome 68

Le SSL Cloudflare pour SaaS permet au client final d'une entreprise de SaaS de continuer à utiliser un domaine personnalisé, tout en sécurisant ses communications via SSL. Les avantages pour le client final : une expérience visiteur marquée, une confiance améliorée, de meilleurs résultats dans les moteurs de recherche et la possibilité d'utiliser HTTP/2 pour une rapidité encore mieux optimisée. Cloudflare automatise entièrement le cycle de vie SSL, de la commande au déploiement en passant par le renouvellement des certificats, qui ne demande que quelques minutes. Les entreprises de SaaS peuvent ainsi offrir cet avantage dans le cadre du flux d'onboarding du client.

Dites-nous tout !

Face aux besoins du client final en matière de SSL, les fournisseurs SaaS peuvent se retrouver dans trois situations différentes :

Domaine personnalisé avec marque, mais non chiffré

Les domaines personnalisés sans SSL ne bénéficient pas des avantages de performances liés au protocole, ni du transfert sécurisé des données. Ils sont donc vulnérables à l'interception des données, ainsi qu'à la modification et l'injection du contenu avant qu'il n'atteigne les visiteurs.

Domaine chiffré, mais sans marque

Les domaines pour qui le SSL a été activé via un fournisseur SaaS n'ont pas de nom de domaine personnalisé, ce qui porte atteinte à leur image de marque et les fait descendre dans le classement des résultats des moteurs de recherche.

Approche difficile en interne

Les fournisseurs SaaS qui veulent des domaines personnalisés avec marque et chiffrement peuvent soit gérer manuellement les cycles de vie des certificats SSL, provoquant l'allongement des temps de déploiement et l'augmentation des coûts d'overhead, soit construire une solution complexe automatisée en interne.

« Avec le SSL pour SaaS, nous avons implémenté un flux plus simple, car l'API Cloudflare gère l'approvisionnement, la livraison, le renouvellement automatisé et la maintenance des certificats SSL de nos clients. De plus, le protocole HTTPS de bout en bout signifie que nous offrons désormais une confidentialité et des performances renforcées à nos clients, et que nous pouvons exploiter des fonctionnalités du navigateur, telles que le stockage local, que nous ne pouvions pas utiliser auparavant. »
Andrew Murray
Directeur de la technologie de Olo

Prêts à optimiser les performances et la sécurité de votre offre SaaS ?

Entrez en contact avec Cloudflare.

Cloudflare Argo avoids congestion

Expériences visiteur avec marque

Les fournisseurs SaaS peuvent continuer de proposer des domaines personnalisés à leurs clients finaux, tout en profitant des avantages d'un certificat SSL entièrement pris en charge. Les domaines qui disposent d'une marque offrent aux clients finaux de meilleurs résultats dans les moteurs de recherche et génèrent une confiance accrue du côté des visiteurs.

Cloudflare Argo reuses connections

Ressources client sécurisées et performantes

Les certificats SSL/TLS garantissent aux domaines du client final le transport sécurisé des données client sensibles, une protection contre les attaques de l'homme du milieu et l'interception réseau. De plus, le protocole HTTP/2 devient disponible, pour une rapidité encore davantage optimisée.

Cloudfare Argo works on Cloudflare's private network

Gestion automatisée du cycle de vie SSL

Cloudflare s'occupe du cycle de vie SSL complet pour le domaine personnalisé du client d'un fournisseur SaaS : de la création d'une clé privée à la protection par validation de domaine, l'émission, le renouvellement et la réémission.

Cloudflare Argo tiered caching

Déploiements SSL rapides et à grande échelle

Lors du processus d'émission SSL, Cloudflare déploie les nouveaux certificats à travers son réseau mondial de 151 datacenters, activant le HTTPS en quelques minutes seulement, aussi près que possible des visiteurs.

Défis liés à la construction d'une solution SSL interne

Il y a deux façons d'élaborer une solution SSL interne pour les domaines personnalisés, mais l'une comme l'autre demandent des efforts considérables de la part du fournisseur SaaS et du client final. Le chemin automatisé (en haut dans le diagramme ci-dessous) automatise le processus SSL, mais exige un travail d'ingénierie conséquent et présente des obstacles de sécurité complexes. Le chemin manuel (en bas) demande à la fois des efforts de la part des équipes du fournisseur SaaS et des clients finaux, avec plus de risques d'expiration de certificats imprévus et de pannes. Dans les deux cas, il y a de fortes chances que les performances en pâtissent, à moins que les certificats SSL ne puissent être déployés dans un réseau de distribution global à grande échelle.

CNAME via HTTP uniquement Chargement manuel des certificats Gestion manuelle du cycle de vie des certificats Création et formation d’une équipe de contact Intégration d'API personnalisée (par exemple en utilisant Let's Encrypt) Temps Effort technique Chemin automatisé Chemin manuel Augmentation du nombre de sites Web Réseau mondial de distribution des certificats Renouvellements manuels nécessitant des efforts du client Défis avancés Traitement sécurisé des clés de chiffrement Maintenance et efforts de support constants Chemin Cloudflare Intégration facile par API/ interface utilisateur de Cloudflare

CNAME via HTTP uniquement

Au début, les clients finaux du fournisseur SaaS reçoivent et envoient uniquement le trafic HTTP sur leurs domaines personnalisés dotés du CNAME.

Comment fonctionne le SSL pour le SaaS ?

Le SSL destiné au processus SaaS est entièrement géré par Cloudflare. Il suffit aux fournisseurs SaaS d'envoyer un appel d'API unique (ou de faire quelques clics dans leur tableau de bord Cloudflare) dans le cadre du flux d'onboarding du domaine personnalisé d'un client final. Ensuite, les clients finaux du fournisseur SaaS ont seulement besoin d'ajouter le CNAME initial au domaine du fournisseur Saas. Cloudflare prend entièrement en charge le reste du processus d'onboarding du domaine personnalisé.

Le reste de ce processus est géré par Cloudflare qui s'occupe notamment de :

  • Demander à l'autorité de certification de valider le domaine personnalisé du client final pour émettre le certificat SSL.
  • Recevoir un jeton de validation de l'autorité de certification et le rendre accessible depuis la périphérie de Cloudflare.
  • Prévenir l'autorité de certification quand elle peut terminer la validation HTTP, et demander ensuite qu'elle émette les certificats SSL.
  • Recevoir les certificats et les envoyer à la périphérie des 151 datacenters du réseau Cloudflare situés dans le monde entier, réduisant la latence et augmentant les performances TLS.

Questions fréquemment posées

Q : Comment le trafic de mes clients est-il envoyé à mon serveur d'origine ? Est-il sécurisé ?

R : Oui, Cloudflare vous encourage à utiliser le mode SSL complet ou strict afin que le trafic envoyé à votre origine utilise le protocole HTTPS. Cette option peut être configurée dans l'onglet Crypto de votre zone. Si vous utilisez le mode strict, vous devez vous assurer que votre origine dispose d'un Subject Alternative Name (SAN) correspondant au nom d'hôte de votre client, par exemple support.votreclient.site. Notre produit Origin CA peut être utilisé pour générer ces certificats pour une utilisation en mode strict.

Q : Combien de temps faut-il pour émettre un certificat et le rendre opérationnel ?

R : Les certificats sont généralement validés, émis et envoyés à notre périphérie en quelques minutes. Vous pouvez suivre la progression des différentes étapes (en cours d'initialisation, en attente de validation, en attente d'émission, en attente de déploiement, actif) en faisant un appel GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

Q : Qu'en est-il des renouvellements ou réémissions ? Devons-nous, mes clients ou moi, nous occuper de quoi que ce soit ?

R : Non, Cloudflare s'occupe de tout cela pour vous. Les certificats que nous émettons sont valables une année entière (365 jours) et seront renouvelés automatiquement au moins 30 jours avant leur expiration. Ces certificats sont émis uniquement dans le nom d'hôte de votre client, et donc, tant que le CNAME est toujours en place, nous pouvons continuer de les renouveler facilement par « contrôle de validation de domaine » de ce nom d'hôte. Si vous avez perdu un client, nous vous encourageons à envoyer à Cloudflare une demande de suppression, pour que nous puissions retirer le certificat concerné de la périphérie et ne plus le renouveler.

Q : De quels avantages de Cloudflare mes clients profiteront-ils ?

R : Outre la protection de l'infrastructure DNS de vos clients (à moins qu'ils n'utilisent également Cloudflare comme DNS de référence), la réponse est : tous. Une fois que le trafic est dirigé vers votre nom d'hôte en marque blanche, Cloudflare est en mesure de fournir des technologies de pointe comme la protection DDoS, le CDN, le WAF, HTTP/2, l'équilibrage de charge et bien d'autre encore.

Q: Que faire si mon client utilise déjà HTTPS sur son nom d'hôte personnalisé ? Y a-t-il un moyen d'éviter l'indisponibilité lors de la migration ?

R : Dans certains cas, vous avez déjà concocté une solution en interne sur la base d'informations clés fournies par le client. Ou peut-être que votre client utilise le nom d'hôte désiré chez un concurrent (ou grâce à une solution interne) qui fournit HTTPS et ne tolère pas de fenêtre de maintenance courte.

Pour ces types de cas, nous avons étendu les deux méthodes disponibles pour les certificats dédiés à notre offre de SSL pour SaaS : l'e-mail et le CNAME. Il suffit de changer la méthode de SSL dans l'appel d'API de « http » en « email » ou « cname », et d'envoyer la demande. Pour en savoir plus, consultez la documentation API.

L'autre méthode, par jeton CNAME, est généralement utilisée lorsque vous contrôlez le DNS pour les noms de domaines personnalisés (certains de nos clients SaaS, en particulier ceux qui offrent des services de création de sites Web et d'hébergement, autorisent l'enregistrement de domaines personnalisés dans le cadre du flux de travail).

Enfin, vous êtes libres de fournir le jeton HTTP renvoyé par la méthode de validation « http » depuis votre origine (au lieu de laisser Cloudflare l'insérer via proxy inverse), et notre file de relance automatisée le détectera, une fois en place. Si vous voulez prévenir Cloudflare quand le jeton est en place pour qu'il relance immédiatement, vous pouvez toujours envoyer un PATCH à notre point terminal avec le même corps SSL que vous avez envoyé en POST, nous le vérifierons immédiatement.

Prêts à optimiser les performances et la sécurité de votre offre SaaS ?

Entrez en contact avec Cloudflare.