SSL di Cloudflare per i provider SaaS

L'adozione della crittografia SSL/TLS per le organizzazioni online è diventata una prassi di sicurezza ampiamente adottata, e sta progressivamente diventando un requisito obbligatorio a causa delle pressioni delle grandi aziende tecnologiche, che aspirano a creare un Internet più sicuro. Ad esempio, già alla fine del 2016 il browser Google Chrome ha cominciato ad apporre per i propri clienti l'etichetta di "Non sicuro" ai siti web che non usano il protocollo HTTPS. Nello stesso periodo, il browser FireFox di Mozilla ha iniziato a inviare avvisi ancora più pesanti agli utenti che tentano di inviare moduli di informazioni non protetti dal protocollo HTTPS.2

trattamento http

Cloudflare SSL per SaaS consente al cliente finale di una società SaaS di continuare a utilizzare un dominio personale, proteggendone la comunicazione tramite SSL. I vantaggi per il cliente finale includono un'esperienza per i visitatori personalizzata, una fiducia maggiore, un migliore posizionamento sui motori di ricerca (SEO) e la capacità di usare HTTP/2 per ulteriori miglioramenti della velocità. Cloudflare automatizza l'intero ciclo di vita SSL, dall'acquisto, all'implementazione fino al rinnovo dei certificati, che richiede pochi minuti, consentendo alla società SaaS di offrire questo benefit come parte del proprio flusso di onboarding della clientela

Ci sono tre scenari in cui un provider SaaS può trovarsi quando si occupa delle esigenze in ambito SSL dei clienti finali:

ssl for saas scenario 1

Dominio personale non crittografato ma brandizzato

I domini personali senza SSL non possono sfruttare i benefici alle prestazioni offerte dal protocollo SSL, né godere del trasferimento protetto dei dati, e questo li rende vulnerabili a snooping e a modifiche o intrusioni nei contenuti prima che questi raggiungano i visitatori.

ssl for saas scenario 2

Dominio crittografato ma non personalizzato

I domini con SSL abilitato tramite un provider SaaS non sono personalizzati, il che si traduce in un indebolimento del brand e in un posizionamento sui motori di ricerca (SEO) più basso.

ssl for saas scenario 3

Un approccio in-house pieno di insidie

I provider SaaS che desiderano domini personali crittografati possono gestire i cicli di vita SSL manualmente, con tempi di distribuzione prolungati e costi fissi, o creare una complessa soluzione in-house automatizzata.

"Con SSL for SaaS abbiamo implementato un flusso più semplice, dato che l'API di Cloudflare gestisce il provisioning, la risposta, il rinnovo automatico e la manutenzione dei certificati SSL dei nostri clienti. Inoltre, grazie ad HTTPS end-to-end ora abbiamo rafforzato sia la privacy che prestazioni per i nostri clienti, e possiamo sfruttare delle funzionalità del browser, come l'archiviazione locale, che prima non potevamo usare".
Andrew Murray
CTO di Olo

Contatta Cloudflare.

Esperienze dei visitatori personalizzate

Esperienze dei visitatori personalizzate

I provider SaaS che offrono ai clienti finali la possibilità di utilizzare domini personalizzati possono continuare a farlo, godendo dei vantaggi aggiuntivi di un certificato SSL completamente gestito. I domini personalizzati offrono ai clienti posizionamenti sui motori di ricerca (SEO) più elevati e una maggiore fiducia dei visitatori.

Risorse dei clienti sicure e performanti

Risorse dei clienti sicure e performanti

I certificati SSL/TLS nei domini dei clienti finali assicurano il trasporto protetto dei dati sensibili della clientela, offrendo una protezione dagli attacchi man-in-the-middle e da tentativi di snooping di rete. Inoltre, il protocollo HTTP/2 diventa disponibile per miglioramenti della velocità ancora più notevoli.

Gestione automatizzata del ciclo di vita del SSL

Gestione automatizzata del ciclo di vita del SSL

Cloudflare gestisce l'intero ciclo di vita SSL per il dominio personale del cliente di un provider SaaS, dalla creazione e la protezione di chiavi private fino alla convalida, all'emissione, al rinnovo e alla riemissione del dominio.

Distribuzioni SSL veloci e in tutto il mondo

Distribuzioni SSL veloci e in tutto il mondo

Durante il processo di emissione SSL, Cloudflare implementa nuovi certificati in tutta la sua rete globale di datacenter in oltre 200 città, portando HTTPS online in pochi minuti e il più vicino possibile ai visitatori.

Le sfide del costruire una soluzione SSL in-house

Ci sono due percorsi disponibili per creare una soluzione SSL in-house per i domini personalizzati; entrambi richiedono un notevole impegno sia per il provider SaaS sia per il cliente finale. Nel diagramma riportato di seguito, il percorso automatizzato (in alto) rende automatico il processo SSL ma richiede ampi sforzi di progettazione e la gestione di aspetti delicati legati alla sicurezza. Il percorso manuale (in basso) richiede l'impegno sia dei team del provider SaaS sia dei loro clienti finali, con un potenziale più elevato per interruzioni e scadenze dei certificati non rispettate. Indipendentemente dal percorso scelto, è probabile che si verifichino decadimenti di prestazioni, a meno che i certificati SSL non siano implementati in una rete di distribuzione globale di vasta scala.

  solo HTTP CNAME Caricamento manuale dei certificati Caricamento gestione dei cicli di vita dei certificati Creare e formare un team di contatto con i clienti Integrazione API personalizzata (ad es. utilizzando Let's Encrypt) Ora Impegno in termini di progettazione Percorso automatizzato Percorso manuale A partire # da crescita del sito web Globale dei cicli di vita Sfide di rete Rinnovi manuali che esigono un impegno da parte del cliente Sfide implementazione Gestione sicura delle chiavi crittografiche Sforzi di manutenzione e supporto continui Il percorso di Cloudflare API Cloudflare semplice / Integrazione dell'interfaccia utente

CNAME solo HTTP

I clienti finali dei provider SaaS inviano e ricevono soltanto traffico HTTP tramite i loro domini personali provvisti di CNAME.

Caricare manualmente i certificati

Per avviare il processo di addizione del certificato SSL ai domini personali CNAME, viene configurato un processo attraverso il quale i clienti acquistano e inviano certificati acquistati al provider SaaS per il caricamento manuale.

Gestire manualmente il ciclo di vita dei certificati

Dopo il caricamento dei certificati del cliente, è necessaria una gestione manuale del loro ciclo di vita. Ciò comprende l'emissione/la protezione della chiave privata attraverso la convalida, l'emissione, il rinnovo e la riemissione del dominio.

Creare l'integrazione API (as esempio, tramite Let’s Encrypt)

Man mano che il numero totale di siti web e clienti che usano i servizi del provider SaaS inizia a crescere, arriva il momento di prendere una decisione: automatizzare il processo del ciclo di vita SSL per i domini personali, che richiede uno sforzo di progettazione maggiore, oppure continuare ad adottare una gestione manuale del ciclo di vita, che richiede un minore sforzo di progettazione ma aumenta il lavoro dei team interni e dei clienti finali.

Gestire con sicurezza le chiave di crittografia

Le chiavi private sono necessarie per un'archiviazione sicura e la crittografia a riposo, e non vengono mai scritte sul disco con testo in chiaro. Crittografare le chiavi è facile, ma decodificarle in tempo reale è difficile, poiché richiede o uno sforzo manuale o un lavoro di progettazione considerevole. Le best practice per la gestione delle chiavi private sono state pubblicate qui su OWASP.org. Cloudflare è esperta nella generazione e nella protezione di chiavi private per milioni di domini attraverso il nostro certificato Universal SSL, i certificati dedicati e i prodotti SSL per SaaS.

Rete di distribuzione globale dei certificati

La distribuzione sistematica dei certificati in tutto il mondo, che li rende disponibili il più vicino possibile ai visitatori dei tuoi clienti, è necessaria per mitigare i cali delle prestazioni. Più la richiesta del visitatore di un cliente finale deve viaggiare, più lenti saranno i relativi tempi di caricamento pagina. Con TLS 1.2, un handshake TLS iniziale richiede 2 percorsi andata e ritorno; se l'handshake può arrivare in poche posizioni, le prestazioni ne risentiranno.

Sforzi di manutenzione e supporto continui (percorso automatizzato)

Per le aziende SaaS che hanno scelto un approccio automatizzato per creare una soluzione SSL in-house, la maggior parte della manutenzione riguarderà il mantenimento di codebase aggiornati e compatibili con le integrazioni e gli standard dell'autorità di certificazione.

Creare e formare un team di contatto con i clienti

Un team nuovo o esistente nell'azienda provider SaaS dovrà gestire manualmente i cicli di vita dei certificati per i clienti finali. I team di contatto dovranno contattare i clienti, comunicando aggiornamenti sulle scadenze dei certificati e richiedendo il rinnovo dei nuovi certificati.

Rinnovi manuali che esigono un impegno da parte del cliente

I clienti devono partecipare al processo di rinnovo dei certificati rinnovandoli e inviandoli di nuovo al team incaricato della gestione del processo di caricamento. Inoltre, devono intraprendere questo percorso di rinnovo prima della scadenza del certificato esistente. Se si verifica la scadenza dei certificati esistenti, le risorse Internet del cliente probabilmente andranno offline a meno che non vengano adottate misure preventive.

Rete di distribuzione globale dei certificati

La distribuzione sistematica dei certificati in tutto il mondo, che li rende disponibili il più vicino possibile ai visitatori dei tuoi clienti, è necessaria per mitigare i cali delle prestazioni. Più la richiesta del visitatore di un cliente finale deve viaggiare, più lenti saranno i relativi tempi di caricamento pagina. Con TLS 1.2, un handshake TLS iniziale richiede 2 percorsi andata e ritorno; se l'handshake può arrivare in poche posizioni, le prestazioni ne risentiranno.

Sforzi di manutenzione e supporto continui (percorso manuale)

Per le aziende SaaS che hanno scelto l'approccio manuale per la creazione di una soluzione SSL in-house, la maggior parte della manutenzione riguarderà i continui sforzi manuali dei provider SaaS per proteggere in modo sicuro le chiavi private, gestire i cicli di vita dei certificati, ricordare ai clienti di rinnovare e caricare nuovamente i nuovi certificati. I clienti finali dei provider SaaS avranno l'onere di dover partecipare al ciclo di vita del certificato rinnovando e inviando regolarmente nuovi certificati.

Integrazione facile con l'API/UI di Cloudflare

La soluzione SSL for SaaS di Cloudflare richiede sforzi di progettazione minimi e solleva i provider SaaS e i loro clienti finali dal peso della gestione del ciclo di vita SSL.

Come funziona SSL for SaaS?

L'SSL per il processo SaaS viene gestito interamente da Cloudflare, e richiede solo che i provider SaaS inviino una singola chiamata API (o eseguano qualche semplice operazione nella dashboard di Cloudflare) come parte di un workflow per l'onboarding del dominio personalizzato di un cliente finale. In seguito, i clienti finali dei provider SaaS dovranno solo aggiungere il CNAME iniziale nel dominio del provider SaaS. Cloudflare gestisce interamente il resto del processo di onboarding del dominio personalizzato.

Le fasi rimanenti sono gestite da Cloudflare e comprendono:

  • La richiesta all'autorità certificativa di convalidare il dominio personalizzato del cliente finale per l'emissione del certificato SSL.
  • Ricevere un token di convalida dall'autorità certificativa e renderlo accessibile dal perimetro di Cloudflare.
  • Richiedere all'autorità certificativa di completare la convalida HTTP e quindi di rilasciare i certificati SSL.
  • Ricevere i certificati e inoltrarli al perimetro della rete Cloudflare, costituito da datacenter ubicati in 200 città di tutto il mondo, consentendo l'ottimizzazione della latenza e delle prestazioni TLS.

Domande frequenti

D: Com'è il traffico dei miei clienti inviato alla mia origine? È protetto?

R: Sì. Cloudflare raccomanda di usare la modalità SSL Strict o Full affinché il traffico inviato alla tua origine utilizzi HTTPS. Questa opzione può essere configurata nella scheda Crypto della tua area geografica. Se usi la modalità Strict, devi verificare che i certificati nella tua origine contengano un SAN (Subject Alternative Names) corrispondente al nome host del tuo cliente, ad esempio support.yourcustomer.site. Il prodotto Origin CA può essere usato per generare questi certificati per l'uso in modalità Strict.

D: Quanto tempo occorre per emettere un certificato e poterlo utilizzare?

R: In genere, i certificati vengono convalidati, emessi e caricati sul perimetro entro pochi minuti. Puoi monitorare lo stato di avanzamento lungo i vari stati (Inizializzazione, In attesa di convalida, In attesa di rilascio, In attesa di distribuzione, Attivo) effettuando una chiamata GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{ "result": { "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5", "hostname": "support.yourcustomer.site", "ssl": { "id": "3463325d-8116-48f3-ab4e-a75fb9727326", "type": "dv", "method": "http", "status": "active" } }, "Success": true}

D: Per quanto riguarda rinnovi o riemissioni, io o i miei clienti dobbiamo fare qualcosa?

R: No, se ne occupa interamente Cloudflare. I certificati che rilasciamo sono validi per un anno intero (365 giorni) e vengono rinnovati automaticamente almeno 30 giorni prima della scadenza. Questi certificati vengono emessi solamente nel nome host del tuo cliente e, finché il CNAME rimane invariato, possiamo continuare a rinnovarli dimostrando un "controllo di convalida del dominio" del nome host. Se il cliente ha deciso di cambiare fornitore, ti invitiamo a inviare a Cloudflare una richiesta di ELIMINAZIONE affinché Cloudflare rimuova il certificato dal perimetro e non cerchi di rinnovarlo.

D: Quali sono i vantaggi di Cloudflare di cui potranno godere i miei clienti?

R: Ad eccezione della protezione dell'infrastruttura DNS dei clienti (a meno che non si avvalgano di Cloudflare anche per il nameserver autoritativo), la risposta è semplice: tutti. Una volta che il traffico punta al nome host white-label, Cloudflare è in grado di fornire, tra l'altro, la protezione da attacchi DDoS, la rete CDN, il WAF, il protocollo HTTP/2, il bilanciamento di carico migliori del settore.

D: Cosa succede se il mio cliente sta già utilizzando HTTPS sul proprio nome host personalizzato? Esiste un modo per evitare tempi di inattività durante la migrazione?

R: In alcuni casi, potresti avere già messo insieme una soluzione a livello interno sulla base del materiale fornito dal cliente. Oppure, il tuo cliente sta usando il nome host desiderato con un concorrente (o una soluzione interna) che fornisce HTTPS e non può tollerare una breve finestra di manutenzione.

Per queste casistiche abbiamo esteso i due metodi alternativi di "pre-convalida" disponibili in "Certificati dedicati" al nostro SSL per l'offerta SaaS: e-mail e CNAME. Basta modificare il metodo SSL nella chiamata API di cui sopra da "http" a "e-mail" o "cname" e inviare la richiesta. Per ulteriori informazioni, consulta la documentazione relativa all'API.

L'altro metodo disponibile, il token CNAME, viene in genere utilizzato quando controlli il DNS per la presenza di nomi personalizzati (alcuni dei nostri clienti SaaS, specialmente quelli che forniscono servizi per la creazione e l'hosting di siti web, permettono la registrazione del dominio personalizzato come parte del workflow).

Infine, puoi servire il token HTTP restituito dal metodo di convalida "http" sulla tua origine (anziché lasciare che sia Cloudflare a inserirlo durante il proxy inverso); la nostra coda dei tentativi automatizzata lo individuerà una volta inserito. Se vuoi informare Cloudflare dopo aver eseguito questa operazione e per riprovare immediatamente, puoi sempre inviare una PATCH all'endpoint con lo stesso corpo SSL inviato durante il POST: lo verificheremo subito.

Contatta Cloudflare.