Cloudflare SSL for SaaS pour les fournisseurs

L'adoption du chiffrement SSL/TLS est devenue l’une des pratiques d'excellence en matière de sécurité pour les organisations en ligne. Avec les efforts déployés par les géants de la technologie pour construire un Internet plus sûr, elle est de plus en plus souvent considérée comme une nécessité. Par exemple, le navigateur web Google Chrome a commencé à étiqueter visiblement les sites web n'utilisant pas HTTPS comme « non sécurisés » pour leurs utilisateurs fin 20161. En parallèle, le navigateur Web Mozilla Firefox a commencé à émettre des avertissements encore plus sérieux aux utilisateurs qui tentent de soumettre des formulaires d'information non protégés via HTTPS2.

http treatment

La solution Cloudflare SSL for SaaS permet au client final d'un fournisseur SaaS de continuer à utiliser un domaine personnalisé, tout en sécurisant ses communications via SSL. Le client final bénéficie des avantages suivants : une expérience visiteur marquée, une confiance améliorée, de meilleurs résultats dans les moteurs de recherche et la possibilité d'utiliser HTTP/2 pour augmenter encore la vitesse. Cloudflare automatise entièrement le cycle de vie SSL, de la commande au déploiement et au renouvellement des certificats, ce qui ne demande que quelques minutes. Les entreprises de SaaS peuvent ainsi offrir cet avantage dans le cadre du flux d'intégration du client.

Face aux besoins du client final en matière de SSL, les fournisseurs SaaS peuvent se retrouver dans trois situations différentes :

ssl for saas scenario 1

Domaine personnalisé avec marque, mais non chiffré

Les domaines personnalisés sans SSL ne bénéficient pas des avantages de performances liés au protocole, ni du transfert sécurisé des données. Ils sont donc vulnérables au snooping, ainsi qu'à la modification et l'injection du contenu avant qu'il n'atteigne les visiteurs.

ssl for saas scenario 2

Domaine chiffré, mais sans marque

Les domaines pour qui le SSL a été activé via un fournisseur SaaS n'ont pas de nom de domaine personnalisé, ce qui porte atteinte à leur image de marque et les fait descendre dans le classement des résultats des moteurs de recherche.

ssl for saas scenario 3

Approche difficile en interne

Les fournisseurs SaaS qui veulent des domaines personnalisés avec marque et chiffrement peuvent soit gérer manuellement le cycle de vie des certificats SSL, ce qui allonge les temps de déploiement et augmente les frais généraux, soit élaborer une solution complexe automatisée en interne.

« Grâce à SSL for SaaS, nous avons mis en œuvre un flux simplifié, car l'API de Cloudflare gère l'approvisionnement, le service, le renouvellement automatique et la maintenance des certificats SSL de nos clients. De plus, le protocole HTTPS de bout en bout signifie que nous avons renforcé la protection de la vie privée et les performances de nos clients, et que nous pouvons tirer parti des fonctionnalités du navigateur, tel que le stockage local, que nous ne pouvions pas utiliser avant. »
Andrew Murray
CTO, Olo

Contactez Cloudflare.

Expériences visiteur marquées

Expériences visiteur marquées

Les fournisseurs SaaS peuvent continuer de proposer des domaines personnalisés à leurs clients finaux, tout en profitant des avantages d'un certificat SSL entièrement pris en charge. Les domaines qui disposent d'une marque offrent aux clients finaux de meilleurs résultats dans les moteurs de recherche et une confiance accrue du côté des visiteurs.

Ressources client sécurisées et performantes

Ressources client sécurisées et performantes

Les certificats SSL/TLS garantissent aux domaines du client final le transport sécurisé des données client sensibles, une protection contre les attaques de l'intercepteur et le snooping réseau. De plus, le protocole HTTP/2 devient disponible pour augmenter encore la vitesse.

Gestion automatisée du cycle de vie SSL

Gestion automatisée du cycle de vie SSL

Cloudflare s'occupe du cycle de vie SSL complet pour le domaine personnalisé du client d'un fournisseur SaaS : de la création d'une clé privée à la protection par validation de domaine, en passant par l'émission, le renouvellement et la réémission.

Déploiements SSL rapides et à grande échelle

Déploiements SSL rapides et à grande échelle

Lors du processus d'émission SSL, Cloudflare déploie les nouveaux certificats à travers son réseau mondial de datacenters situés dans 200 villes, activant le HTTPS en quelques minutes seulement, aussi près que possible des visiteurs.

Défis de la construction d'une solution SSL interne

Il y a deux façons d'élaborer une solution SSL interne pour les domaines personnalisés, mais l'une comme l'autre demandent des efforts considérables de la part du fournisseur SaaS et du client final. Le chemin automatisé (en haut dans le schéma ci-dessous) automatise le processus SSL, mais exige un travail d'ingénierie conséquent et présente des obstacles de sécurité complexes. Le chemin manuel (en bas) demande à la fois des efforts de la part des équipes du fournisseur SaaS et des clients finaux, avec plus de risques d'expiration de certificats imprévus et de pannes. Dans les deux cas, il y a de fortes chances que les performances en pâtissent, à moins que les certificats SSL puissent être déployés dans un réseau de distribution global à grande échelle.

  CNAME via HTTP uniquement Manuel : chargement des certificats Manuel : gestion du cycle de vie des certificats Création et formation d'une équipe de contact Intégration d'API personnalisée (p. ex., avec Let's Encrypt) Temps Effort d'ingénierie Chemin automatisé Chemin manuel Au fil de la hausse du nombre de sites web Global du cycle de vie distribution réseau Renouvellements manuels nécessitant des efforts côté client Défis avancés Gestion sécurisée des clés de chiffrement Maintenance et efforts de support constants Chemin Cloudflare Intégration facile de l'API / IU de Cloudflare

CNAME via HTTP uniquement

Au début, les clients finaux du fournisseur SaaS reçoivent et envoient uniquement le trafic HTTP sur leurs domaines personnalisés à CNAME.

Chargement manuel des certificats

Pour lancer les processus d'ajout de SSL aux domaines personnalisés à CNAME, un processus est mis en œuvre par lequel les clients achètent et envoient des certificats au fournisseur SaaS pour qu'ils soient chargés manuellement.

Gestion manuelle du cycle de vie des certificats

Au moment de charger les certificats des clients, un traitement manuel est requis afin de gérer le cycle de vie desdits certificats. Cela comprend la création d'une clé privée et une protection par validation de domaine, l'émission, le renouvellement et la réémission de domaines.

Intégration d’API (p. ex., avec Let’s Encrypt)

Comme le nombre total de sites web et de clients utilisant les services d'un fournisseur SaaS commence à s'accroître, une décision devra être prise : automatiser le processus du cycle de vie SSL pour les domaines personnalisés, ce qui requiert un effort d'ingénierie plus élevé, ou continuer à assurer une gestion manuelle du cycle de vie, ce qui nécessite un effort d'ingénierie moindre mais constitue une charge pour les équipes internes et les clients finaux.

Gestion sécurisée des clés de chiffrement

Les clés privées sont nécessaires pour disposer d'un stockage sécurisé et d'un chiffrement au repos, et pour que les contenus ne soient jamais écrits en clair sur les disques. Certes le chiffrement des clés est facile, mais le déchiffrement à la volée est difficile, car il requiert un effort manuel ou un travail considérable d'ingénierie. Les meilleures pratiques de gestion des clés privées ont été publiées sur OWASP.org. Cloudflare est expert dans la génération et la protection de clés privées pour des millions de domaines grâce à nos solutions Universal SSL, certificats dédiés et SSL for SaaS.

Réseau global de distribution des certificats

La distribution systématique de certificats au niveau mondial, en les rendant disponibles au plus près possible des visiteurs de vos clients, est nécessaire pour atténuer les pertes de performances. Plus la requête du visiteur d'un client est longue, plus le temps de chargement de sa page sera lent. Avec TLS 1.2, un handshake TLS initial nécessite 2 allers-retours. S'il ne peut aboutir qu'à certains endroits, les performances en pâtiront.

Maintenance et efforts de supports constants (chemin automatisé)

Pour les entreprises SaaS qui ont choisi une approche automatisée pour développer une solution SSL interne, la majorité de la maintenance consistera à garder le code base à jour et compatible avec les intégrations et les normes des autorités de certification.

Création et formation d’une équipe de contact

Une équipe nouvelle ou existante au sein de l'entreprise du fournisseur SaaS sera requise pour gérer manuellement le cycle de vie des certificats pour les clients finaux. Les équipes de contact avec les clients devront aller à leur rencontre, leur proposer des mises à jour à l'expiration des certificats et demander le renouvellement de nouveaux certificats.

Renouvellement manuel nécessitant des efforts du client

Les clients doivent prendre part au renouvellement des certificats en renouvelant et en envoyant de nouveau ces certificats à l'équipe en charge de la gestion du processus de chargement. De plus, ils doivent mener à bien ce processus de renouvellement avant l'expiration du certificat existant. Si les certificats existants arrivent à expiration, les ressources Internet des clients seront probablement mises hors ligne, à moins que des mesures préventives ne soient prises.

Réseau global de distribution des certificats

La distribution systématique de certificats au niveau mondial, en les rendant disponibles au plus près possible des visiteurs de vos clients, est nécessaire pour atténuer les pertes de performances. Plus la requête du visiteur d'un client est longue, plus le temps de chargement de sa page sera lent. Avec TLS 1.2, un handshake TLS initial nécessite 2 allers-retours. S'il ne peut aboutir qu'à certains endroits, les performances en pâtiront.

Maintenance et efforts de supports constants (chemin manuel)

Pour les entreprises SaaS qui ont choisi l'approche manuelle pour développer une solution SSL interne, la majorité de la maintenance consistera en des efforts manuels continus de la part des fournisseurs SaaS pour protéger de manière sécurisée les clés privées, gérer le cycle de vie des certificats, rappeler aux clients de procéder au renouvellement, et recharger les nouveaux certificats. Les clients finaux des fournisseurs SaaS devront prendre part au processus de cycle de vie des certificats en renouvelant et en renvoyant régulièrement les certificats.

Intégration facile de l'API / IU de Cloudflare

La solution Cloudflare SSL for SaaS exige des efforts minimaux d'ingénierie, et supprime la charge de la gestion du cycle de vie SSL à la fois pour les fournisseurs SaaS et leurs clients finaux.

Comment fonctionne la solution SSL for SaaS ?

La solution SSL for SaaS est entièrement gérée par Cloudflare. Il suffit aux fournisseurs SaaS d'envoyer un appel d'API unique (ou d'effectuer quelques clics dans leur tableau de bord Cloudflare) dans le cadre du flux d'intégration du domaine personnalisé d'un client final. Ensuite, le client final du fournisseurs SaaS doit simplement ajouter le CNAME initial au domaine du fournisseur SaaS. Cloudflare prend entièrement en charge le reste du processus d'intégration du domaine personnalisé.

Le reste de ce processus, géré par Cloudflare, inclut les actions suivantes :

  • Demander à l'autorité de certification de valider le domaine personnalisé du client final pour émettre le certificat SSL.
  • Recevoir un jeton de validation de l'autorité de certification et le rendre accessible depuis la périphérie de Cloudflare.
  • Prévenir l'autorité de certification quand elle peut terminer la validation HTTP, et demander ensuite qu'elle émette les certificats SSL.
  • Recevoir les certificats et les envoyer à la périphérie des datacenters du réseau Cloudflare situés dans 200 villes dans le monde, ce qui réduit la latence et augmente les performances TLS.

Questions fréquemment posées

Q : Comment le trafic de mes clients est-il envoyé à mon serveur d'origine ? Est-il sécurisé ?

R : Oui, Cloudflare vous encourage à utiliser le mode SSL complet ou strict afin que le trafic envoyé à votre serveur d'origine utilise le protocole HTTPS. Cette option peut être configurée dans l'onglet Crypto de votre zone. Si vous utilisez le mode strict, vous devez vous assurer que les certificats de votre serveur d'origine dispose d'un SAN (Subject Alternative Name) correspondant au nom d'hôte de votre client, par exemple support.yourcustomer.site. Notre produit Origin CA peut être utilisé pour générer ces certificats en vue d'une utilisation en mode strict.

Q : Combien de temps faut-il pour émettre un certificat et le rendre opérationnel ?

R : Les certificats sont généralement validés, émis et envoyés à notre périphérie en quelques minutes. Vous pouvez suivre la progression des différentes étapes (en cours d'initialisation, en attente de validation, en attente d'émission, en attente de déploiement, actif) en faisant un appel GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
"result": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"type": "dv",
"method": "http",
"status": "active"
}
},
"success": true
}

Q : Qu'en est-il des renouvellements ou réémissions ? Mes clients ou moi-même devons-nous nous occuper de quoi que ce soit ?

R : Non, Cloudflare s'en occupe pour vous. Les certificats que nous émettons sont valables une année entière (365 jours) et seront renouvelés automatiquement au moins 30 jours avant leur expiration. Ils sont délivrés uniquement dans le nom d'hôte de votre client, et donc, tant que le CNAME est en place, nous pouvons continuer de les renouveler facilement en prouvant le « contrôle de validation de domaine » de ce nom d'hôte. Si vous avez perdu le client, nous vous encourageons à envoyer à Cloudflare une demande de suppression, pour que nous puissions retirer le certificat concerné de la périphérie et ne plus le renouveler.

Q : Quels avantages Cloudflare offrira-t-il à mes clients ?

R : Exception faite de la protection de l'infrastructure DNS de vos clients (à moins qu'ils n'utilisent également Cloudflare pour les serveurs de noms autoritaires), la réponse est : tous. Une fois le trafic dirigé vers votre nom d'hôte à marque blanche, Cloudflare est en mesure de fournir des technologies de pointe comme la protection DDoS, le CDN, le WAF, le HTTP/2, l'équilibrage de charge et bien d'autres encore.

Q : Que faire si mon client utilise déjà HTTPS sur son nom d'hôte personnalisé ? Peut-on éviter l'indisponibilité lors de la migration ?

R : Dans certains cas, vous avez déjà concocté une solution en interne sur la base d'informations clés fournies par le client. Ou peut-être que votre client utilise le nom d'hôte désiré chez un concurrent (ou grâce à une solution interne) qui fournit HTTPS et ne tolère pas de fenêtre de maintenance courte.

Pour ces types de cas, nous avons étendu à notre offre de SSL pour SaaS les deux méthodes de pré-validation disponibles pour les certificats dédiés : l'e-mail et le CNAME. Il suffit de changer la méthode SSL dans l'appel d'API ci-dessus en remplaçant « http » par « email » ou « cname », et d'envoyer la demande. Pour en savoir plus, consultez la documentation API.

L'autre méthode, par jeton CNAME, est généralement utilisée lorsque vous contrôlez le DNS pour les noms de domaines personnalisés (certains de nos clients SaaS, en particulier ceux qui offrent des services de création de sites web et d'hébergement, autorisent l'enregistrement de domaines personnalisés dans le cadre du flux de travail).

Enfin, vous êtes libres de diffuser le jeton HTTP renvoyé par la méthode de validation « http » depuis votre origine (au lieu de laisser Cloudflare l'insérer via proxy inverse), et notre file de relance automatisée le détectera, une fois en place. Si vous voulez prévenir Cloudflare quand il est en place pour qu'il relance immédiatement, vous pouvez toujours envoyer un PATCH à notre point de terminaison avec le même corps de SSL que celui envoyé lors du POST, nous le vérifierons immédiatement.

Contactez Cloudflare.