L'adoption du chiffrement SSL/TLS est devenue l’une des pratiques d'excellence en matière de sécurité pour les organisations en ligne. Avec les efforts déployés par les géants de la technologie pour construire un Internet plus sûr, elle est de plus en plus souvent considérée comme une nécessité. Par exemple, le navigateur web Google Chrome a commencé à étiqueter visiblement les sites web n'utilisant pas HTTPS comme « non sécurisés » pour leurs utilisateurs fin 2016. En parallèle, le navigateur Web Mozilla Firefox a commencé à émettre des avertissements encore plus sérieux aux utilisateurs qui tentent de soumettre des formulaires d'information non protégés via HTTPS2.
Les informations que vous fournissez à Cloudflare sont régies par les conditions de notre politique de confidentialité.
La solution Cloudflare SSL for SaaS permet au client final d'un fournisseur SaaS de continuer à utiliser un domaine personnalisé, tout en sécurisant ses communications via SSL. Le client final bénéficie des avantages suivants : une expérience visiteur marquée, une confiance améliorée, de meilleurs résultats dans les moteurs de recherche et la possibilité d'utiliser HTTP/2 pour augmenter encore la vitesse. Cloudflare automatise entièrement le cycle de vie SSL, de la commande au déploiement et au renouvellement des certificats, ce qui ne demande que quelques minutes. Les entreprises de SaaS peuvent ainsi offrir cet avantage dans le cadre du flux d'intégration du client.
Les domaines personnalisés sans SSL ne bénéficient pas des avantages de performances liés au protocole, ni du transfert sécurisé des données. Ils sont donc vulnérables au snooping, ainsi qu'à la modification et l'injection du contenu avant qu'il n'atteigne les visiteurs.
Les domaines pour qui le SSL a été activé via un fournisseur SaaS n'ont pas de nom de domaine personnalisé, ce qui porte atteinte à leur image de marque et les fait descendre dans le classement des résultats des moteurs de recherche.
Les fournisseurs SaaS qui veulent des domaines personnalisés avec marque et chiffrement peuvent soit gérer manuellement le cycle de vie des certificats SSL, ce qui allonge les temps de déploiement et augmente les frais généraux, soit élaborer une solution complexe automatisée en interne.
Contactez Cloudflare.
Expériences visiteur marquées
Les fournisseurs SaaS peuvent continuer de proposer des domaines personnalisés à leurs clients finaux, tout en profitant des avantages d'un certificat SSL entièrement pris en charge. Les domaines qui disposent d'une marque offrent aux clients finaux de meilleurs résultats dans les moteurs de recherche et une confiance accrue du côté des visiteurs.
Ressources client sécurisées et performantes
Les certificats SSL/TLS garantissent aux domaines du client final le transport sécurisé des données client sensibles, une protection contre les attaques de l'intercepteur et le snooping réseau. De plus, le protocole HTTP/2 devient disponible pour augmenter encore la vitesse.
Gestion automatisée du cycle de vie SSL
Cloudflare s'occupe du cycle de vie SSL complet pour le domaine personnalisé du client d'un fournisseur SaaS : de la création d'une clé privée à la protection par validation de domaine, en passant par l'émission, le renouvellement et la réémission.
Déploiements SSL rapides et à grande échelle
Lors du processus d'émission SSL, Cloudflare déploie les nouveaux certificats à travers son réseau mondial de datacenters situés dans 200 villes, activant le HTTPS en quelques minutes seulement, aussi près que possible des visiteurs.
Il y a deux façons d'élaborer une solution SSL interne pour les domaines personnalisés, mais l'une comme l'autre demandent des efforts considérables de la part du fournisseur SaaS et du client final. Le chemin automatisé (en haut dans le schéma ci-dessous) automatise le processus SSL, mais exige un travail d'ingénierie conséquent et présente des obstacles de sécurité complexes. Le chemin manuel (en bas) demande à la fois des efforts de la part des équipes du fournisseur SaaS et des clients finaux, avec plus de risques d'expiration de certificats imprévus et de pannes. Dans les deux cas, il y a de fortes chances que les performances en pâtissent, à moins que les certificats SSL puissent être déployés dans un réseau de distribution global à grande échelle.
CNAME via HTTP uniquement
Au début, les clients finaux du fournisseur SaaS reçoivent et envoient uniquement le trafic HTTP sur leurs domaines personnalisés à CNAME.
Chargement manuel des certificats
Pour lancer les processus d'ajout de SSL aux domaines personnalisés à CNAME, un processus est mis en œuvre par lequel les clients achètent et envoient des certificats au fournisseur SaaS pour qu'ils soient chargés manuellement.
Gestion manuelle du cycle de vie des certificats
Au moment de charger les certificats des clients, un traitement manuel est requis afin de gérer le cycle de vie desdits certificats. Cela comprend la création d'une clé privée et une protection par validation de domaine, l'émission, le renouvellement et la réémission de domaines.
Intégration d’API (p. ex., avec Let’s Encrypt)
Comme le nombre total de sites web et de clients utilisant les services d'un fournisseur SaaS commence à s'accroître, une décision devra être prise : automatiser le processus du cycle de vie SSL pour les domaines personnalisés, ce qui requiert un effort d'ingénierie plus élevé, ou continuer à assurer une gestion manuelle du cycle de vie, ce qui nécessite un effort d'ingénierie moindre mais constitue une charge pour les équipes internes et les clients finaux.
Gestion sécurisée des clés de chiffrement
Les clés privées sont nécessaires pour disposer d'un stockage sécurisé et d'un chiffrement au repos, et pour que les contenus ne soient jamais écrits en clair sur les disques. Certes le chiffrement des clés est facile, mais le déchiffrement à la volée est difficile, car il requiert un effort manuel ou un travail considérable d'ingénierie. Les meilleures pratiques de gestion des clés privées ont été publiées sur OWASP.org. Cloudflare est expert dans la génération et la protection de clés privées pour des millions de domaines grâce à nos solutions Universal SSL, certificats dédiés et SSL for SaaS.
Réseau global de distribution des certificats
La distribution systématique de certificats au niveau mondial, en les rendant disponibles au plus près possible des visiteurs de vos clients, est nécessaire pour atténuer les pertes de performances. Plus la requête du visiteur d'un client est longue, plus le temps de chargement de sa page sera lent. Avec TLS 1.2, un handshake TLS initial nécessite 2 allers-retours. S'il ne peut aboutir qu'à certains endroits, les performances en pâtiront.
Maintenance et efforts de supports constants (chemin automatisé)
Pour les entreprises SaaS qui ont choisi une approche automatisée pour développer une solution SSL interne, la majorité de la maintenance consistera à garder le code base à jour et compatible avec les intégrations et les normes des autorités de certification.
Création et formation d’une équipe de contact
Une équipe nouvelle ou existante au sein de l'entreprise du fournisseur SaaS sera requise pour gérer manuellement le cycle de vie des certificats pour les clients finaux. Les équipes de contact avec les clients devront aller à leur rencontre, leur proposer des mises à jour à l'expiration des certificats et demander le renouvellement de nouveaux certificats.
Renouvellement manuel nécessitant des efforts du client
Les clients doivent prendre part au renouvellement des certificats en renouvelant et en envoyant de nouveau ces certificats à l'équipe en charge de la gestion du processus de chargement. De plus, ils doivent mener à bien ce processus de renouvellement avant l'expiration du certificat existant. Si les certificats existants arrivent à expiration, les ressources Internet des clients seront probablement mises hors ligne, à moins que des mesures préventives ne soient prises.
Maintenance et efforts de supports constants (chemin manuel)
Pour les entreprises SaaS qui ont choisi l'approche manuelle pour développer une solution SSL interne, la majorité de la maintenance consistera en des efforts manuels continus de la part des fournisseurs SaaS pour protéger de manière sécurisée les clés privées, gérer le cycle de vie des certificats, rappeler aux clients de procéder au renouvellement, et recharger les nouveaux certificats. Les clients finaux des fournisseurs SaaS devront prendre part au processus de cycle de vie des certificats en renouvelant et en renvoyant régulièrement les certificats.
Intégration facile de l'API / IU de Cloudflare
La solution Cloudflare SSL for SaaS exige des efforts minimaux d'ingénierie, et supprime la charge de la gestion du cycle de vie SSL à la fois pour les fournisseurs SaaS et leurs clients finaux.
La solution SSL for SaaS est entièrement gérée par Cloudflare. Il suffit aux fournisseurs SaaS d'envoyer un appel d'API unique (ou d'effectuer quelques clics dans leur tableau de bord Cloudflare) dans le cadre du flux d'intégration du domaine personnalisé d'un client final. Ensuite, le client final du fournisseurs SaaS doit simplement ajouter le CNAME initial au domaine du fournisseur SaaS. Cloudflare prend entièrement en charge le reste du processus d'intégration du domaine personnalisé.
Le reste de ce processus, géré par Cloudflare, inclut les actions suivantes :
Q : Comment le trafic de mes clients est-il envoyé à mon serveur d'origine ? Est-il sécurisé ?
R : Oui, Cloudflare vous encourage à utiliser le mode SSL complet ou strict afin que le trafic envoyé à votre serveur d'origine utilise le protocole HTTPS. Cette option peut être configurée dans l'onglet Crypto de votre zone. Si vous utilisez le mode strict, vous devez vous assurer que les certificats de votre serveur d'origine dispose d'un SAN (Subject Alternative Name) correspondant au nom d'hôte de votre client, par exemple support.yourcustomer.site. Notre produit Origin CA peut être utilisé pour générer ces certificats en vue d'une utilisation en mode strict.
Q : Combien de temps faut-il pour émettre un certificat et le rendre opérationnel ?
R : Les certificats sont généralement validés, émis et envoyés à notre périphérie en quelques minutes. Vous pouvez suivre la progression des différentes étapes (en cours d'initialisation, en attente de validation, en attente d'émission, en attente de déploiement, actif) en faisant un appel GET.
$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{ "result": { "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5", "hostname": "support.yourcustomer.site", "ssl": { "id": "3463325d-8116-48f3-ab4e-a75fb9727326", "type": "dv", "method": "http", "status": "active" } }, "success": true }
Q : Qu'en est-il des renouvellements ou réémissions ? Mes clients ou moi-même devons-nous nous occuper de quoi que ce soit ?
R : Non, Cloudflare s'en occupe pour vous. Les certificats que nous émettons sont valables une année entière (365 jours) et seront renouvelés automatiquement au moins 30 jours avant leur expiration. Ils sont délivrés uniquement dans le nom d'hôte de votre client, et donc, tant que le CNAME est en place, nous pouvons continuer de les renouveler facilement en prouvant le « contrôle de validation de domaine » de ce nom d'hôte. Si vous avez perdu le client, nous vous encourageons à envoyer à Cloudflare une demande de suppression, pour que nous puissions retirer le certificat concerné de la périphérie et ne plus le renouveler.
Q : Quels avantages Cloudflare offrira-t-il à mes clients ?
R : Exception faite de la protection de l'infrastructure DNS de vos clients (à moins qu'ils n'utilisent également Cloudflare pour les serveurs de noms autoritaires), la réponse est : tous. Une fois le trafic dirigé vers votre nom d'hôte à marque blanche, Cloudflare est en mesure de fournir des technologies de pointe comme la protection DDoS, le CDN, le WAF, le HTTP/2, l'équilibrage de charge et bien d'autres encore.
Q : Que faire si mon client utilise déjà HTTPS sur son nom d'hôte personnalisé ? Peut-on éviter l'indisponibilité lors de la migration ?
R : Dans certains cas, vous avez déjà concocté une solution en interne sur la base d'informations clés fournies par le client. Ou peut-être que votre client utilise le nom d'hôte désiré chez un concurrent (ou grâce à une solution interne) qui fournit HTTPS et ne tolère pas de fenêtre de maintenance courte.
Pour ces types de cas, nous avons étendu à notre offre de SSL pour SaaS les deux méthodes de pré-validation disponibles pour les certificats dédiés : l'e-mail et le CNAME. Il suffit de changer la méthode SSL dans l'appel d'API ci-dessus en remplaçant « http » par « email » ou « cname », et d'envoyer la demande. Pour en savoir plus, consultez la documentation API.
L'autre méthode, par jeton CNAME, est généralement utilisée lorsque vous contrôlez le DNS pour les noms de domaines personnalisés (certains de nos clients SaaS, en particulier ceux qui offrent des services de création de sites web et d'hébergement, autorisent l'enregistrement de domaines personnalisés dans le cadre du flux de travail).
Enfin, vous êtes libres de diffuser le jeton HTTP renvoyé par la méthode de validation « http » depuis votre origine (au lieu de laisser Cloudflare l'insérer via proxy inverse), et notre file de relance automatisée le détectera, une fois en place. Si vous voulez prévenir Cloudflare quand il est en place pour qu'il relance immédiatement, vous pouvez toujours envoyer un PATCH à notre point de terminaison avec le même corps de SSL que celui envoyé lors du POST, nous le vérifierons immédiatement.
1 https://motherboard.vice.com/en_us/article/google-chrome-shaming-http-unencrypted-websites-january
2 https://blog.mozilla.org/security/2017/01/20/communicating-the-dangers-of-non-secure-http/
Pour vous garantir une expérience optimale sur notre site Web, il se peut que nous utilisions des cookies, comme décrit ici.En cliquant sur J’accepte, en fermant cette bannière ou en continuant à naviguer sur notre site Web, vous acceptez l’utilisation de ces cookies.