SSL/TLS Cloudflare gratuit

Étape cruciale vers la construction d'un Internet meilleur et plus sûr, le chiffrement du maximum de trafic web possible permet d'empêcher les vols et les autres falsifications des données. Nous sommes fiers d'être la première entreprise dédiée à l'amélioration de la sécurité et des performances sur Internet à offrir une protection SSL gratuite.

Le SSL, qu'est-ce que c'est ?

Le protocole SSL (Secure Sockets Layer, couche de sockets sécurisés) constitue la technologie de sécurité standard permettant d'établir une liaison chiffrée entre un serveur web et un navigateur. Cette liaison sécurisée garantit que l'ensemble des données transférées restent privées. Cette technologie porte également le nom de TLS (Transport Layer Security, sécurité de la couche Transport). Des millions de sites utilisent le chiffrement SSL tous les jours pour sécuriser les connexions et protéger les données de leurs clients contre la surveillance et la falsification.

Pourquoi utiliser SSL ?

Sur Internet, tous les sites Web devraient utiliser HTTPS. Explication :

  • Performance : Le chiffrement SSL moderne peut réellement améliorer les temps de chargement des pages.

  • Search Boost : Les moteurs de recherche favorisent les sites web HTTPS.

  • Sécurité : le chiffrement du trafic avec SSL garantit que personne ne peut espionner les données de vos utilisateurs.

  • Confiance : en affichant un verrou vert dans la barre d'adresse du navigateur, SSL augmente la confiance des visiteurs.

  • Conformité réglementaire : SSL est un élément clé de la conformité avec la PCI.

La configuration manuelle du SSL nécessite plusieurs manipulations, et une erreur peut empêcher les utilisateurs d'accéder à votre site Web. Cloudflare permet d'activer HTTPS en un clic pour n'importe quelle ressource Internet. Vous n'aurez jamais besoin de vous inquiéter de l'expiration des certificats SSL ou des dernières mises à jour relatives aux vulnérabilités SSL lorsque vous utilisez le SSL de Cloudflare.

Configuration manuelle de SSL

Configuration de SSL avec Cloudflare

Performances SSL

Le protocole HTTPS a bien changé. Il est plus rapide, plus sécurisé et utilisé par plus de sites Web que jamais auparavant. SSL permet d'utiliser HTTP/2, qui a le potentiel de rendre les sites Web jusqu'à deux fois plus rapides sans modifier les bases de code existantes. Le TLS moderne inclut également des fonctionnalités d'amélioration des performances telles que la reprise de session, l'agrafage OCSP et la cryptographie à courbe elliptique qui utilise des clés plus petites (ce qui se traduit par une prise de contact plus rapide). TLS 1.3 réduit encore plus la latence et supprime les fonctionnalités non sécurisées de TLS, rendant HTTPS plus sûr et plus performant que n'importe quelle version précédente de TLS et de son homologue non sécurisé, HTTP.

Cloudflare a même œuvré à l'amélioration des performances d'OpenSSL. Nous avons implémenté ChaCha20-Poly1305, une suite de chiffrement qui s'exécute trois fois plus vite qu’AES-128-GCM sur les appareils mobiles. Les performances font partie de nos principales préoccupations.

Configuration du SSL Cloudflare

Modes de fonctionnement

Cloudflare propose différents modes de SSL en fonction du niveau de sécurité requis et du temps que vous êtes prêt à consacrer à la configuration. Le trafic vers l'utilisateur final sera toujours chiffré, ce qui signifie que votre site Web bénéficiera toujours des avantages de HTTPS. Cependant, le trafic entre Cloudflare et votre serveur d'origine peut être configuré de différentes manières.

SSL Flexible

Le mode SSL flexible chiffre le trafic entre Cloudflare et les utilisateurs finaux de votre site Web, mais pas entre Cloudflare et votre serveur d’origine. C’est la manière la plus simple d'activer HTTPS car elle ne nécessite pas l’installation d'un certificat SSL au niveau de votre origine. Le SSL flexible n'est pas l'option la plus sécurisée, mais il protège vos visiteurs contre une large gamme de menaces, notamment l'interception de données sur Wi-Fi public et l'injection d'annonces via HTTP.

Full SSL

Le mode SSL complet assure le chiffrement entre les utilisateurs finaux et Cloudflare et entre Cloudflare et votre serveur d'origine. Votre serveur d'origine doit être doté d'un certificat SSL. En mode SSL complet, vous disposez de trois options d'installation de certificats sur votre serveur : le certificat doit être émis par une autorité de certification (strict), émis par Cloudflare (Origin CA) ou autosigné. Il est recommandé d’utiliser un certificat obtenu via Cloudflare Origin CA.

Origin CA

Origin CA utilise un certificat SSL émis par Cloudflare au lieu d'un certificat émis par une autorité de certification. La configuration du SSL sur votre serveur d'origine est beaucoup plus simple de cette façon, et le trafic entre votre origine et Cloudflare est sécurisé. Au lieu de faire signer votre certificat par une autorité de certification, vous pouvez générer un certificat signé directement dans le tableau de bord Cloudflare.

Options de configuration avancée

Certificats personnalisés

Cloudflare fournit automatiquement des certificats SSL partagés par plusieurs domaines clients. Les clients Business et Enterprise ont la possibilité de télécharger un certificat SSL personnalisé et dédié qui sera présenté aux utilisateurs finaux. Cela permet l'utilisation de certificats de validation étendue (EV) et d'organisation validée (OV).

Modern TLS Only

La conformité PCI 3.2 requiert TLS 1.2 ou 1.3, car il existe des vulnérabilités connues dans toutes les versions antérieures de TLS et SSL. Cloudflare fournit une option « Modern TLS Only » qui impose TLS 1.2 ou 1.3 à tout le trafic HTTPS de votre site Web.

Chiffrement opportuniste

Le chiffrement opportuniste permet aux domaines uniquement HTTP qui ne peuvent pas être mis à niveau vers HTTPS en raison de contenu mixte ou d’autres questions liées à l’ancienneté, de bénéficier de fonctionnalités de chiffrement et d’optimisation Web disponibles via TLS uniquement, sans changer la moindre ligne de code.

Authentification client TLS

L’authentification mutuelle de Cloudflare (authentification client TLS) crée une connexion sécurisée entre un client, comme un appareil IdO ou une application mobile, et son serveur d’origine. Lors de l'établissement d'une connexion vers un serveur d'origine, Cloudflare valide les certificats qui sont autorisés à accéder au point de terminaison. Si l'appareil dispose du bon certificat client, il est autorisé à établir une connexion sécurisée. S'il n'y a pas de certificat, s'il est non valide ou s'il a expiré, la connexion est annulée et Cloudflare renvoie une erreur 403.

HSTS

La prise en charge du protocole HSTS (HTTP Strict Transport Security) est l'un des moyens les plus simples de sécuriser votre site Web, votre API ou votre application mobile. HSTS est une extension du protocole HTTP qui oblige les clients à utiliser des connexions sécurisées pour chaque requête envoyée à votre serveur d'origine. Avec Cloudflare, il suffit d'un clic pour prendre en charge HSTS.

Réécritures HTTPS automatiques

Les réécritures HTTPS automatiques éliminent les problèmes de contenu mixte et améliorent les performances et la sécurité. en réécrivant des URL non sécurisées dynamiquement à partir d’hôtes (sécurisés) connus en leur équivalent sécurisé. En mettant en œuvre une connexion sécurisée, les réécritures HTTPS automatiques vous permettent de profiter des normes de sécurité et des fonctionnalités d’optimisation Web les plus récentes uniquement disponibles sur HTTPS.

Server Name Indicator (SNI) chiffré

Le SNI chiffré remplace l’extension de texte brut « server_name » utilisée dans le message ClientHello pendant la négociation TLS avec un « encrypted_server_name ». Cette capacité s’étend à TLS 1.3 et renforce la confidentialité des utilisateurs en dissimulant le nom d’hôte de la destination des intermédiaires présents entre le visiteur et le site Web.

Geo Key Manager

Geo Key Manager permet de choisir les datacenters Cloudflare qui ont accès aux clés privées afin d'établir des connexions HTTPS. Cloudflare dispose d'options préconfigurées permettant de sélectionner les datacenters américains ou européens, ainsi que les datacenters les plus sécurisés du réseau Cloudflare. Les datacenters sans accès aux clés privées peuvent toujours mettre fin à TLS, mais ils subiront un léger retard initial lors de la communication avec le datacenter Cloudflare le plus proche qui stocke la clé privée.

Certificats SSL dédiés

Les certificats SSL dédiés assurent un chiffrement et une compatibilité de haut niveau, ainsi que des performances ultrarapides sur l'ensemble de notre réseau mondial de distribution de contenu. Quelques clics sur le tableau de bord Cloudflare suffisent pour émettre facilement et rapidement de nouveaux certificats ou générer des clés privées en toute sécurité, parmi d'autres possibilités. Les certificats SSL dédiés sont disponibles à l'achat dans toutes les offres tarifaires de Cloudflare.

En savoir plus >

Les vulnérabilités du protocole TLS face à un réseau évolutif

Les ingénieurs de Cloudflare traitent quotidiennement des milliards de requêtes SSL. Nous devons donc agir rapidement lorsqu'une nouvelle faille de sécurité est découverte. En raison de nos normes de sécurité strictes, bon nombre de ces vulnérabilités n'ont toutefois aucune incidence sur nos utilisateurs, mais nous adorons expliquer de quelle manière le chiffrement peut céder.

Les attaques Padding Oracle et le déclin des modes de chiffrement par blocs CBC

Début 2016, nous avons constaté que le support client web pour les chiffrements AEAD était passé de moins de 50 % à plus de 70 % en seulement six mois. Découvrez pourquoi le chaînage des blocs de chiffrement n'est plus considéré comme une solution totalement sécurisée.

En savoir plus

Logjam : comprendre la dernière vulnérabilité TLS

Les clients Cloudflare n'ont jamais été touchés par la vulnérabilité Logjam, mais nous avons créé un compte-rendu détaillé expliquant son fonctionnement.

En savoir plus

## Construire votre propre infrastructure à clé publique

Cloudflare chiffre tout le trafic qui circule entre ses datacenters en utilisant sa propre autorité de certification interne. Nous avons développé notre propre boîte à outils PKI open source pour ce faire.

En savoir plus

Prise en charge du protocole Roughtime

Aide le web à être plus sécurisé en réduisant les erreurs de certificat TLS à l'aide d'un service d'horodatage authentifié.

En savoir plus

Détails techniques

Versions de navigateur minimales prises en charge pour les utilisateurs de l'offre gratuite du SSL de Cloudflare :

Navigateurs de bureau
  • Firefox 2
  • Internet Explorer 7 sur Windows Vista
  • Windows Vista ou OS X 10.6 with :

Chrome 5.0.342.0, Opera 14, Safari 4

Navigateurs mobiles
  • Safari Mobile sur iOS 4.0
  • Android 4.0 (Ice Cream Sandwich)
  • Windows Phone 7
Remarque :

Les systèmes d'exploitation mentionnés ci-dessus correspondent à la version minimale requise. Si vous avez besoin d'un plus haut degré de compatibilité avec les systèmes d'exploitation plus anciens, comme Windows XP SP2 et les versions d'Android antérieures à la version 3.0, utilisez la solution SSL proposée dans nos offres Pro, Business ou Enterprise. Pour toute autre question, consultez notre FAQ.

La solution Cloudflare est facile à configurer



Configurez un domaine en moins de 5 minutes. Conservez votre fournisseur d'hébergement. Aucune modification du code n'est requise.


Des millions de propriétés Internet nous font confiance