Cloudflare SSL per provider SaaS

L'adozione della crittografia SSL/TLS per le organizzazioni online è diventata una best practice di sicurezza e sta progressivamente diventando un requisito a cause delle pressioni delle grandi aziende tecnologiche che mirano a creare un Internet più sicuro. Ad esempio, il browser Web Google Chrome ha iniziato a etichettare visivamente i siti Web che non usano il protocollo HTTPS come "Non sicuri" per gli utenti alla fine del 20161. Parallelamente, il browser Web FireFox di Mozilla ha iniziato a inviare avvisi ancora più gravi agli utenti che tentano di inviare moduli di informazioni non protetti dal protocollo HTTPS.2.

Trattamento delle pagine HTTP da parte di Chrome 68

Cloudflare SSL per SaaS consente al cliente finale di una società SaaS di continuare a utilizzare un dominio personalizzato, proteggendone la comunicazione tramite SSL. I vantaggi per il cliente finale includono un'esperienza per i visitatori personalizzata, una fiducia maggiore, un migliore posizionamento sui motori di ricerca (SEO) e la capacità di usare HTTP/2 per ulteriori miglioramenti della velocità. Cloudflare rende automatico l'intero ciclo di vita di SSL, dall'acquisto alla distribuzione fino al rinnovo dei certificati, che richiede pochi minuti, consentendo alla società SaaS di offrire questo vantaggio come parte della propria procedura di onboarding per i clienti.

Parla con noi!

Ci sono tre scenari in cui il provider SaaS può trovarsi quando si occupa delle esigenze dei clienti finali SSL:

Dominio personalizzato ma non crittografato

I domini personalizzati privi di SSL non presentano i vantaggi per le prestazioni di SSL e il trasferimento di dati protetto, cosa che li rende vulnerabili a snooping e a modifiche o intrusioni nei contenuti prima che questi raggiungano i visitatori.

Dominio crittografato ma non personalizzato

I domini con SSL abilitato tramite un provider SaaS non sono personalizzati, il che si traduce in un indebolimento del brand e in un posizionamento sui motori di ricerca (SEO) più basso.

Stimolante approccio in-house

I provider SaaS che desiderano domini personalizzati crittografati possono gestire i cicli di vita SSL manualmente, con tempi di distribuzione prolungati e costi fissi, o creare una complessa soluzione in-house automatizzata.

"Con SSL per SaaS abbiamo implementato un flusso più semplice poiché l'API di Cloudflare gestisce il provisioning, la risposta, il rinnovo automatico e la manutenzione dei certificati SSL dei nostri clienti. Inoltre, grazie ad HTTPS end-to-end ora abbiamo rafforzato privacy e prestazioni per i nostri clienti e possiamo sfruttare funzionalità del browser, come l'archiviazione locale, che un tempo non usavamo".
Andrew Murray
CTO di Olo

Sei pronto a ottimizzare le prestazioni e la sicurezza della tua offerta SaaS?

Entra in contatto con Cloudflare.

Cloudflare Argo avoids congestion

Esperienze dei visitatori personalizzate

I provider SaaS che offrono ai clienti finali la possibilità di utilizzare domini personalizzati possono continuare a farlo, godendo dei vantaggi aggiuntivi di un certificato SSL completamente gestito. I domini personalizzati offrono ai clienti posizionamenti sui motori di ricerca (SEO) più elevati e una fiducia dei visitatori migliore.

Cloudflare Argo reuses connections

Risorse dei clienti sicure e performanti

I certificati SSL/TLS nei domini dei clienti finali assicurano il trasporto protetto dei dati senibili dei clienti, offrendo una protezione dagli attacchi man-in-the-middle e da tentativi di snooping di rete. Inoltre, il protocollo HTTP/2 diventa disponibile per miglioramenti della velocità anche maggiori.

Cloudfare Argo works on Cloudflare's private network

Gestione automatizzata del ciclo di vita SSL

Cloudflare gestisce l'intero ciclo di vita di SSL per un dominio personalizzato del cliente di un provider SaaS, dalla creazione e protezione di chiavi private alla convalida del dominio, all'emissione, al rinnovo e alla riemissione.

Cloudflare Argo tiered caching

Distribuzioni di SSL rapide e globali

Durante il processo di emissione SSL, Cloudflare distribuisce nuovi certificati in tutta la sua rete globale di 155 data center, portando HTTPS online in pochi minuti, il più vicino possibile ai visitatori.

Sfide nella costruzione di una soluzione SSL in-house

Ci sono due percorsi disponibili per creare una soluzione SSL in-house per i domini personalizzati; entrambi richiedono un notevole impegno sia per il provider SaaS sia per il cliente finale. Nel diagramma riportato di seguito, il percorso automatizzato (in alto) rende automatico il processo SSL ma richiede ampi sforzi di progettazione e la gestione di aspetti delicati legati alla sicurezza. Il percorso manuale (in basso) richiede l'impegno sia dei team deii provider SaaS sia dei loro clienti finali, con un potenziale più elevato per interruzioni e scadenze dei certificati non rispettate. Indipendentemente dal percorso scelto, si avranno delle conseguenze per le prestazioni a meno che i certificati SSL non vengano distribuiti in una rete di distribuzione globale su vasta scala.

solo HTTP CNAME Manualmente caricare certificati Manualmente gestire certificato cicli di vita Costruire e formare di contatto con il cliente team API personalizzata integrazione (ad es. utilizzando Let's Encrypt) Tempo Progettazione Sforzo Percorso automatizzato Percorso manuale Come n. di crescita del sito Web Globale certificato distribuzione rete Rinnovi manuali con richiesta impegno del cliente Avanzate sfide Gestite in modo sicuro chiavi di crittografia In corso manutenzione e continui impegno del supporto Percorso di Cloudflare /API Cloudflare facile Integrazione dell'interfaccia utente

CNAME solo HTTP

I clienti finali dei provider SaaS inviano e ricevono soltanto traffico HTTP tramite i loro domini personalizzati con CNAME.

Come funziona SSL per SaaS?

Il protocollo SSL per il processo SaaS è interamente gestito da Cloudflare: richiede solo che i provider SaaS inviino una singola chiamata API (o eseguano qualche semplice operazione nella dashboard di Cloudflare) all'interno di un flusso di lavoro per l'onboarding del dominio personalizzato. In seguito, i clienti finali dei provider SaaS dovranno solo aggiungere il CNAME iniziale nel dominio del provider SaaS. Cloudflare si occupa interamente della gestione del resto del processo di onboarding del dominio personalizzato.

Il resto di questo processo è gestito da Cloudflare e comprende:

  • Richiedere all'autorità di certificazione di convalidare il dominio personalizzato del cliente finale per l'emissione del certificato SSL.
  • Ricevere un token di convalida dall'autorità di certificazione e renderlo accessibile dal perimetro di Cloudflare.
  • Richiedere all'autorità di certificazione di completare la convalida HTTP e quindi di rilasciare i certificati SSL.
  • Ricevere certificati e inoltrarli al perimetro della rete di Cloudflaredi oltre 155 data center in tutto il mondo, consentendo l'ottimizzazione a livello di latenza e prestazioni TLS.

Domande frequenti

D: Com'è il traffico dei miei clienti inviato alla mia origine? È protetto?

R: Sì, Cloudflare suggerisce di usare la modalità strict o estesa di SSL affinché il traffico inviato alla tua origine utilizzi HTTPS. Questa opzione può essere configurata nella scheda relativa alla crittografia della tua area geografica. Se usi la modalità strict, devi verificare che i certificati nella tua origine contengano un SAN (Subject Alternative Names, Nomi alternativi soggetto) corrispondente al nome host del cliente, ad es. support.yourcustomer.site. Il nostro prodotto Origin CA può esser usato per generare questi certificati da usare con la modalità Strict.

D: Quanto tempo ci vorrà per emettere un certificato e averlo pronto per l'uso?

R: In genere, i certificati vengono convalidati, emessi e inoltrati al perimetro entro pochi minuti. Puoi monitorare l'avanzamento della procedura tramite i vari stati (Inizializzazione in corso, In attesa di convalida, In attesa di rilascio, In attesa di distribuzione, Attivo) effettuando una chiamata GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

D: Per quanto riguarda rinnovi o riemissioni, sono necessarie operazioni da parte mia o dei miei clienti?

R: No, se ne occupa Cloudflare. I certificati che rilasciamo sono validi per un anno intero (365 giorni) e vengono rinnovati automaticamente almeno 30 giorni prima della scadenza. Questi certificati vengono emessi solamente nel nome host del cliente e, finché il CNAME rimane invariato, possiamo continuare a rinnovarli facilmente mostrando il "controllo di convalida del dominio" del nome host. Se perdi il cliente, ti invitiamo a inviare a Cloudflare una richiesta di ELIMINAZIONE affinché Cloudflare rimuova il certificato dal perimetro e non tenti il rinnovo.

D: Quali sono i vantaggi di Cloudflare di cui potranno godere i miei clienti?

R: Ad eccezione della protezione dell'infrastruttura DNS dei clienti (a meno che non si avvalgano di Cloudflare anche per il server dei nomi autorevole), la risposta è semplice: tutti. Una volta che il traffico punta al nome host white-label, Cloudflare è in grado di fornire, tra l'altro, la protezione da attacchi DDoS, la rete CDN, il WAF, il protocollo HTTP/2, il bilanciamento del carico migliori del settore.

D: Cosa succede se il mio cliente sta già utilizzando HTTPS sul proprio nome host personalizzato? Esiste un modo per evitare tempi di inattività durante la migrazione?

R: In alcuni casi, potresti avere già creato una soluzione internamente sulla base del materiale chiave fornito dal cliente. Oppure, il cliente sta usando il nome host desiderato con un concorrente (o una soluzione interna) che fornisce HTTPS e non può tollerare una breve finestra di manutenzione.

Per questi casi, abbiamo esteso i due metodi alternativi di "pre-convalida" disponibili in Certificati dedicati a SSL per l'offerta SaaS: e-mail e CNAME. Basta modificare il metodo SSL nella chiamata API di cui sopra da "http" a "e-mail" o "cname" e inviare la richiesta. Per ulteriori informazioni, consulta la documentazione relativa all'API.

L'altro metodo disponibile, il token CNAME, viene in genere utilizzato per cercare i nomi personalizzati nel DNS (alcuni dei nostri clienti SaaS, specialmente quelli che forniscono servizi per la creazione e l'hosting di siti Web, consentono al dominio personalizzato di essere registrato come parte del flusso di lavoro).

Infine, puoi servire il token HTTP restituito dal metodo di convalida "http" sulla tua origine (anziché lasciare che sia Cloudflare a inserirlo durante il proxy inverso); la nostra coda dei tentativi automatizzata lo rileverà una volta inserito. Se vuoi informare Cloudflare dopo aver eseguito questa operazione e per riprovare immediatamente, puoi sempre inviare una PATCH all'endpoint con lo stesso corpo SSL inviato durante il POST: lo verificheremo subito.

Sei pronto a ottimizzare le prestazioni e la sicurezza della tua offerta SaaS?

Entra in contatto con Cloudflare.