L'adozione della crittografia SSL/TLS per le organizzazioni online è diventata una best practice di sicurezza e sta progressivamente diventando un requisito a cause delle pressioni delle grandi aziende tecnologiche che mirano a creare un Internet più sicuro. Ad esempio, il browser Web Google Chrome ha iniziato a etichettare visivamente i siti Web che non usano il protocollo HTTPS come "Non sicuri" per gli utenti alla fine del 20161. Parallelamente, il browser Web FireFox di Mozilla ha iniziato a inviare avvisi ancora più gravi agli utenti che tentano di inviare moduli di informazioni non protetti dal protocollo HTTPS.2.
Trattamento delle pagine HTTP da parte di Chrome 68
Cloudflare SSL per SaaS consente al cliente finale di una società SaaS di continuare a utilizzare un dominio personalizzato, proteggendone la comunicazione tramite SSL. I vantaggi per il cliente finale includono un'esperienza per i visitatori personalizzata, una fiducia maggiore, un migliore posizionamento sui motori di ricerca (SEO) e la capacità di usare HTTP/2 per ulteriori miglioramenti della velocità. Cloudflare rende automatico l'intero ciclo di vita di SSL, dall'acquisto alla distribuzione fino al rinnovo dei certificati, che richiede pochi minuti, consentendo alla società SaaS di offrire questo vantaggio come parte della propria procedura di onboarding per i clienti.
I domini personalizzati privi di SSL non presentano i vantaggi per le prestazioni di SSL e il trasferimento di dati protetto, cosa che li rende vulnerabili a snooping e a modifiche o intrusioni nei contenuti prima che questi raggiungano i visitatori.
I domini con SSL abilitato tramite un provider SaaS non sono personalizzati, il che si traduce in un indebolimento del brand e in un posizionamento sui motori di ricerca (SEO) più basso.
I provider SaaS che desiderano domini personalizzati crittografati possono gestire i cicli di vita SSL manualmente, con tempi di distribuzione prolungati e costi fissi, o creare una complessa soluzione in-house automatizzata.
Entra in contatto con Cloudflare.
Esperienze dei visitatori personalizzate
I provider SaaS che offrono ai clienti finali la possibilità di utilizzare domini personalizzati possono continuare a farlo, godendo dei vantaggi aggiuntivi di un certificato SSL completamente gestito. I domini personalizzati offrono ai clienti posizionamenti sui motori di ricerca (SEO) più elevati e una fiducia dei visitatori migliore.
Risorse dei clienti sicure e performanti
I certificati SSL/TLS nei domini dei clienti finali assicurano il trasporto protetto dei dati senibili dei clienti, offrendo una protezione dagli attacchi man-in-the-middle e da tentativi di snooping di rete. Inoltre, il protocollo HTTP/2 diventa disponibile per miglioramenti della velocità anche maggiori.
Gestione automatizzata del ciclo di vita SSL
Cloudflare gestisce l'intero ciclo di vita di SSL per un dominio personalizzato del cliente di un provider SaaS, dalla creazione e protezione di chiavi private alla convalida del dominio, all'emissione, al rinnovo e alla riemissione.
Distribuzioni di SSL rapide e globali
Durante il processo di emissione SSL, Cloudflare distribuisce nuovi certificati in tutta la sua rete globale di 200 data center, portando HTTPS online in pochi minuti, il più vicino possibile ai visitatori.
Il protocollo SSL per il processo SaaS è interamente gestito da Cloudflare: richiede solo che i provider SaaS inviino una singola chiamata API (o eseguano qualche semplice operazione nella dashboard di Cloudflare) all'interno di un flusso di lavoro per l'onboarding del dominio personalizzato. In seguito, i clienti finali dei provider SaaS dovranno solo aggiungere il CNAME iniziale nel dominio del provider SaaS. Cloudflare si occupa interamente della gestione del resto del processo di onboarding del dominio personalizzato.
Il resto di questo processo è gestito da Cloudflare e comprende:
D: Com'è il traffico dei miei clienti inviato alla mia origine? È protetto?
R: Sì, Cloudflare suggerisce di usare la modalità strict o estesa di SSL affinché il traffico inviato alla tua origine utilizzi HTTPS. Questa opzione può essere configurata nella scheda relativa alla crittografia della tua area geografica. Se usi la modalità strict, devi verificare che i certificati nella tua origine contengano un SAN (Subject Alternative Names, Nomi alternativi soggetto) corrispondente al nome host del cliente, ad es. support.yourcustomer.site. Il nostro prodotto Origin CA può esser usato per generare questi certificati da usare con la modalità Strict.
D: Quanto tempo ci vorrà per emettere un certificato e averlo pronto per l'uso?
R: In genere, i certificati vengono convalidati, emessi e inoltrati al perimetro entro pochi minuti. Puoi monitorare l'avanzamento della procedura tramite i vari stati (Inizializzazione in corso, In attesa di convalida, In attesa di rilascio, In attesa di distribuzione, Attivo) effettuando una chiamata GET.
$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
"result": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"type": "dv",
"method": "http",
"status": "active"
}
},
"success": true
}
D: Per quanto riguarda rinnovi o riemissioni, sono necessarie operazioni da parte mia o dei miei clienti?
R: No, se ne occupa Cloudflare. I certificati che rilasciamo sono validi per un anno intero (365 giorni) e vengono rinnovati automaticamente almeno 30 giorni prima della scadenza. Questi certificati vengono emessi solamente nel nome host del cliente e, finché il CNAME rimane invariato, possiamo continuare a rinnovarli facilmente mostrando il "controllo di convalida del dominio" del nome host. Se perdi il cliente, ti invitiamo a inviare a Cloudflare una richiesta di ELIMINAZIONE affinché Cloudflare rimuova il certificato dal perimetro e non tenti il rinnovo.
D: Quali sono i vantaggi di Cloudflare di cui potranno godere i miei clienti?
R: Ad eccezione della protezione dell'infrastruttura DNS dei clienti (a meno che non si avvalgano di Cloudflare anche per il server dei nomi autorevole), la risposta è semplice: tutti. Una volta che il traffico punta al nome host white-label, Cloudflare è in grado di fornire, tra l'altro, la protezione da attacchi DDoS, la rete CDN, il WAF, il protocollo HTTP/2, il bilanciamento del carico migliori del settore.
D: Cosa succede se il mio cliente sta già utilizzando HTTPS sul proprio nome host personalizzato? Esiste un modo per evitare tempi di inattività durante la migrazione?
R: In alcuni casi, potresti avere già creato una soluzione internamente sulla base del materiale chiave fornito dal cliente. Oppure, il cliente sta usando il nome host desiderato con un concorrente (o una soluzione interna) che fornisce HTTPS e non può tollerare una breve finestra di manutenzione.
Per questi casi, abbiamo esteso i due metodi alternativi di "pre-convalida" disponibili in Certificati dedicati a SSL per l'offerta SaaS: e-mail e CNAME. Basta modificare il metodo SSL nella chiamata API di cui sopra da "http" a "e-mail" o "cname" e inviare la richiesta. Per ulteriori informazioni, consulta la documentazione relativa all'API.
L'altro metodo disponibile, il token CNAME, viene in genere utilizzato per cercare i nomi personalizzati nel DNS (alcuni dei nostri clienti SaaS, specialmente quelli che forniscono servizi per la creazione e l'hosting di siti Web, consentono al dominio personalizzato di essere registrato come parte del flusso di lavoro).
Infine, puoi servire il token HTTP restituito dal metodo di convalida "http" sulla tua origine (anziché lasciare che sia Cloudflare a inserirlo durante il proxy inverso); la nostra coda dei tentativi automatizzata lo rileverà una volta inserito. Se vuoi informare Cloudflare dopo aver eseguito questa operazione e per riprovare immediatamente, puoi sempre inviare una PATCH all'endpoint con lo stesso corpo SSL inviato durante il POST: lo verificheremo subito.
Entra in contatto con Cloudflare.