L'adozione della crittografia SSL/TLS per le organizzazioni online è diventata una prassi di sicurezza ampiamente adottata, e sta progressivamente diventando un requisito obbligatorio a causa delle pressioni delle grandi aziende tecnologiche, che aspirano a creare un Internet più sicuro. Ad esempio, già alla fine del 2016 il browser Google Chrome ha cominciato ad apporre per i propri clienti l'etichetta di "Non sicuro" ai siti web che non usano il protocollo HTTPS. Nello stesso periodo, il browser FireFox di Mozilla ha iniziato a inviare avvisi ancora più pesanti agli utenti che tentano di inviare moduli di informazioni non protetti dal protocollo HTTPS.2
Cloudflare SSL per SaaS consente al cliente finale di una società SaaS di continuare a utilizzare un dominio personale, proteggendone la comunicazione tramite SSL. I vantaggi per il cliente finale includono un'esperienza per i visitatori personalizzata, una fiducia maggiore, un migliore posizionamento sui motori di ricerca (SEO) e la capacità di usare HTTP/2 per ulteriori miglioramenti della velocità. Cloudflare automatizza l'intero ciclo di vita SSL, dall'acquisto, all'implementazione fino al rinnovo dei certificati, che richiede pochi minuti, consentendo alla società SaaS di offrire questo benefit come parte del proprio flusso di onboarding della clientela
I domini personali senza SSL non possono sfruttare i benefici alle prestazioni offerte dal protocollo SSL, né godere del trasferimento protetto dei dati, e questo li rende vulnerabili a snooping e a modifiche o intrusioni nei contenuti prima che questi raggiungano i visitatori.
I domini con SSL abilitato tramite un provider SaaS non sono personalizzati, il che si traduce in un indebolimento del brand e in un posizionamento sui motori di ricerca (SEO) più basso.
I provider SaaS che desiderano domini personali crittografati possono gestire i cicli di vita SSL manualmente, con tempi di distribuzione prolungati e costi fissi, o creare una complessa soluzione in-house automatizzata.
Contatta Cloudflare.
Esperienze dei visitatori personalizzate
I provider SaaS che offrono ai clienti finali la possibilità di utilizzare domini personalizzati possono continuare a farlo, godendo dei vantaggi aggiuntivi di un certificato SSL completamente gestito. I domini personalizzati offrono ai clienti posizionamenti sui motori di ricerca (SEO) più elevati e una maggiore fiducia dei visitatori.
Risorse dei clienti sicure e performanti
I certificati SSL/TLS nei domini dei clienti finali assicurano il trasporto protetto dei dati sensibili della clientela, offrendo una protezione dagli attacchi man-in-the-middle e da tentativi di snooping di rete. Inoltre, il protocollo HTTP/2 diventa disponibile per miglioramenti della velocità ancora più notevoli.
Gestione automatizzata del ciclo di vita del SSL
Cloudflare gestisce l'intero ciclo di vita SSL per il dominio personale del cliente di un provider SaaS, dalla creazione e la protezione di chiavi private fino alla convalida, all'emissione, al rinnovo e alla riemissione del dominio.
Distribuzioni SSL veloci e in tutto il mondo
Durante il processo di emissione SSL, Cloudflare implementa nuovi certificati in tutta la sua rete globale di datacenter in oltre 200 città, portando HTTPS online in pochi minuti e il più vicino possibile ai visitatori.
L'SSL per il processo SaaS viene gestito interamente da Cloudflare, e richiede solo che i provider SaaS inviino una singola chiamata API (o eseguano qualche semplice operazione nella dashboard di Cloudflare) come parte di un workflow per l'onboarding del dominio personalizzato di un cliente finale. In seguito, i clienti finali dei provider SaaS dovranno solo aggiungere il CNAME iniziale nel dominio del provider SaaS. Cloudflare gestisce interamente il resto del processo di onboarding del dominio personalizzato.
Le fasi rimanenti sono gestite da Cloudflare e comprendono:
D: Com'è il traffico dei miei clienti inviato alla mia origine? È protetto?
R: Sì. Cloudflare raccomanda di usare la modalità SSL Strict o Full affinché il traffico inviato alla tua origine utilizzi HTTPS. Questa opzione può essere configurata nella scheda Crypto della tua area geografica. Se usi la modalità Strict, devi verificare che i certificati nella tua origine contengano un SAN (Subject Alternative Names) corrispondente al nome host del tuo cliente, ad esempio support.yourcustomer.site. Il prodotto Origin CA può essere usato per generare questi certificati per l'uso in modalità Strict.
D: Quanto tempo occorre per emettere un certificato e poterlo utilizzare?
R: In genere, i certificati vengono convalidati, emessi e caricati sul perimetro entro pochi minuti. Puoi monitorare lo stato di avanzamento lungo i vari stati (Inizializzazione, In attesa di convalida, In attesa di rilascio, In attesa di distribuzione, Attivo) effettuando una chiamata GET.
$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{ "result": { "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5", "hostname": "support.yourcustomer.site", "ssl": { "id": "3463325d-8116-48f3-ab4e-a75fb9727326", "type": "dv", "method": "http", "status": "active" } }, "Success": true}
D: Per quanto riguarda rinnovi o riemissioni, io o i miei clienti dobbiamo fare qualcosa?
R: No, se ne occupa interamente Cloudflare. I certificati che rilasciamo sono validi per un anno intero (365 giorni) e vengono rinnovati automaticamente almeno 30 giorni prima della scadenza. Questi certificati vengono emessi solamente nel nome host del tuo cliente e, finché il CNAME rimane invariato, possiamo continuare a rinnovarli dimostrando un "controllo di convalida del dominio" del nome host. Se il cliente ha deciso di cambiare fornitore, ti invitiamo a inviare a Cloudflare una richiesta di ELIMINAZIONE affinché Cloudflare rimuova il certificato dal perimetro e non cerchi di rinnovarlo.
D: Quali sono i vantaggi di Cloudflare di cui potranno godere i miei clienti?
R: Ad eccezione della protezione dell'infrastruttura DNS dei clienti (a meno che non si avvalgano di Cloudflare anche per il nameserver autoritativo), la risposta è semplice: tutti. Una volta che il traffico punta al nome host white-label, Cloudflare è in grado di fornire, tra l'altro, la protezione da attacchi DDoS, la rete CDN, il WAF, il protocollo HTTP/2, il bilanciamento di carico migliori del settore.
D: Cosa succede se il mio cliente sta già utilizzando HTTPS sul proprio nome host personalizzato? Esiste un modo per evitare tempi di inattività durante la migrazione?
R: In alcuni casi, potresti avere già messo insieme una soluzione a livello interno sulla base del materiale fornito dal cliente. Oppure, il tuo cliente sta usando il nome host desiderato con un concorrente (o una soluzione interna) che fornisce HTTPS e non può tollerare una breve finestra di manutenzione.
Per queste casistiche abbiamo esteso i due metodi alternativi di "pre-convalida" disponibili in "Certificati dedicati" al nostro SSL per l'offerta SaaS: e-mail e CNAME. Basta modificare il metodo SSL nella chiamata API di cui sopra da "http" a "e-mail" o "cname" e inviare la richiesta. Per ulteriori informazioni, consulta la documentazione relativa all'API.
L'altro metodo disponibile, il token CNAME, viene in genere utilizzato quando controlli il DNS per la presenza di nomi personalizzati (alcuni dei nostri clienti SaaS, specialmente quelli che forniscono servizi per la creazione e l'hosting di siti web, permettono la registrazione del dominio personalizzato come parte del workflow).
Infine, puoi servire il token HTTP restituito dal metodo di convalida "http" sulla tua origine (anziché lasciare che sia Cloudflare a inserirlo durante il proxy inverso); la nostra coda dei tentativi automatizzata lo individuerà una volta inserito. Se vuoi informare Cloudflare dopo aver eseguito questa operazione e per riprovare immediatamente, puoi sempre inviare una PATCH all'endpoint con lo stesso corpo SSL inviato durante il POST: lo verificheremo subito.
Contatta Cloudflare.