Scopri di più su come Cloudflare offre certificati di backup per tutti i clienti. Leggi
Cloudflare SSL/TLS
Ottieni SSL/TLS gratuitamente con qualsiasi piano di servizi applicativi
Eseguire la crittografia di molto traffico Web per impedire furto di dati e altre manomissioni rappresenta un passaggio fondamentale per rendere Internet un luogo migliore e più sicuro. Siamo lieti di essere la prima azienda dedicata a sicurezza e prestazioni di Internet a offrire protezione SSL gratuitamente.
Che cosa è l’SSL?
SSL (Secure Socket Layer) è la tecnologia di sicurezza standard per stabilire un collegamento criptato tra un server web e un browser. Questo collegamento sicuro assicura che tutti i dati trasferiti rimangano privati. È anche chiamata anche TLS (Transport Layer Security). Milioni di siti web utilizzano quotidianamente la crittografia SSL per proteggere le connessioni e i dati dei clienti da monitoraggio e manomissione.
Perché utilizzare SSL?
Ogni sito web su Internet dovrebbe essere gestito tramite HTTPS. Ecco perché:
Prestazioni: il protocollo SSL di tipo moderno è davvero in grado di migliorare i tempi di caricamento delle pagine.
Incremento dei ranking di ricerca: i motori di ricerca prediligono i siti Web HTTPS.
Sicurezza: la crittografia del traffico con il protocollo SSL garantisce che non ci siano intrusioni nei dati degli utenti.
Attendibilità: visualizzando un lucchetto verde nella barra degli indirizzi del browser, SSL aumenta la fiducia dei visitatori.
Compliance normativa: SSL è un componente chiave nella conformità PCI.
Configurazione SSL semplice
La configurazione manuale di SSL richiede numerosi passaggi e un'errata configurazione potrebbe impedire agli utenti di visualizzare il sito Web. Cloudflare consente a tutte le proprietà Internet di attivare HTTPS con un semplice clic. Non dovrai preoccuparti per la scadenza dei certificati SSL o l'aggiornamento con le vulnerabilità SSL più recenti quando usi Cloudflare.
Configurazione manuale SSL
Configurazione di SSL Con Cloudflare
HTTPS non è più quello di una volta. È più veloce, più sicuro, e utilizzato da più siti web che mai. Il protocollo SSL abilita HTTP/2, che è in grado di rendere operativi i siti Web alla metà del tempo e senza apportare modifiche a basi di codici esistenti. Il protocollo TLS moderno include anche funzioni dedicate alle prestazioni, ad esempio, ripresa della sessione, associazione OCSP e crittografia a curva ellittica che utilizza chiavi più piccoli (handshake più rapido). TLS 1.3 riduce ulteriormente la latenza ed elimina le funzioni non sicure di TLS. In questo modo, rende HTTPS più sicuro e performante rispetto a qualsiasi precedente versione di TLS e di HTTP, vale a dire la sua controparte non sicura.
Cloudflare ha anche migliorato le prestazioni di OpenSSL. Abbiamo implementato ChaCha20-Poly1305, una suite di crittografia 3 volte più veloce rispetto ad AES-128-GCM sui dispositivi mobili. Abbiamo a cuore le prestazioni.
L'SSL di Cloudflare funziona in modo differente a seconda del livello di sicurezza richiesto e delle procedure di configurazione da effettuare. Il traffico diretto all'utente finale sarà sempre crittografato. Ciò significa che il sito Web potrà sempre sfruttare i vantaggi di HTTPS. Tuttavia, il traffico tra Cloudflare e il server di origine può essere configurato in molti modi differenti.
SSL flessibile
Il protocollo SSL flessibile esegue la crittografia del traffico da Cloudflare agli utenti finali del sito Web, ma non da Cloudflare al server di origine. È il modo più semplice di attivare l'HTTPS perché non dovrai installare un certificato SSL sulla tua origine. Sebbene non sia sicuro come le altre opzioni, il protocollo SSL flessibile protegge i visitatori da minacce su larga scala, ad esempio, l'analisi del Wi-Fi e le intrusioni ad server su HTTP.
SSL completa
La modalità SSL completa offre crittografia da utente finale a Cloudflare e da Cloudflare a server di origine. Per queste operazioni, è necessario un certificato SSL sul tuo server di origine. Nella modalità SSL completa, puoi installare i certificati sul server in tre modi diversi: installare quello rilasciato da un'autorità di certificazione (rigido), quello rilasciato da Cloudflare (Origin CA) oppure uno autofirmato. Ti consigliamo di utilizzare il certificato ottenuto tramite Cloudflare Origin CA.
Origin CA
L'autorità di certificazione di origine utilizza un certificato SSL rilasciato da Cloudflare invece di uno emesso da un'autorità di certificazione. In questo modo, si riduce quasi tutti i problemi di configurazione dell'SSL sul server originale. Al contempo, protegge il traffico che passa dalla tua origine a Cloudflare. Invece di ottenere un certificato firmato da un'autorità di certificazione, puoi generare automaticamente i certficiati firmati nel dashboard di Cloudflare.
Opzioni di configurazione avanzate
Certificati personalizzati
Cloudflare esegue il provisioning automatico dei certificati SSL condivisi dai domini di più clienti. Gli utenti Business ed Enterprise possono caricare un certificato SSL personalizzato e dedicato che sarà mostrato agli utenti finali. In questo modo, sarà possibile utilizzare la convalida estesa (EV, Extended Validation) e i certificati convalidati dall'azienda (OV, Organization Validated).
Modern TLS Only
La conformità PCI 3.2 richiede TLS 1.2 o 1.3, dal momento che sono presenti vulnerabilità note in tutte le versioni precedenti di TLS e SSL. Cloudflare offre l'opzione "Modern TLS Only" che forza la gestione di tutto il traffico HTTPS dal sito Web tramite TLS 1.2 o 1.3.
Opportunistic Encryption
Opportunistic Encryption offre ai domini solo HTTP che non possono essere aggiornati a HTTPS (a causa di contenuti misti o di altri problemi legacy) i vantaggi delle funzioni di crittografia e ottimizzazione Web disponibili soltanto usando TLS senza modificare righe di codice.
Autenticazione client TLS
L'autenticazione reciproca di Cloudflare (autenticazione client TLS) stabilisce una connessione sicura tra un client (ad esempio, un dispositivo IoT o un'app mobile) e la sua origine. Quando un client tenta di stabilire una connessione con il suo server di origine, Cloudflare convalida il certificato del dispositivo per controllare che abbia autorizzato l'accesso all'endpoint. Se il dispositivo ha un certificato client valido (paragonabile alla chiave di accesso a un edificio), il dispositivo è in grado di stabilire una connessione sicura. Se il certificato del dispositivo è mancante, scaduto o non valido, la connessione viene rifiutata e Cloudflare mostra un errore 403.
HSTS
Supportare il protocollo HTTP Strict Transport Security (HSTS) è uno dei modi più facili per proteggere meglio siti Web, API o applicazioni mobili personali. HSTS è un'estensione del protocollo HTTP che obbliga gli utenti a utilizzare connessioni sicure per ogni richiesta inviata al server di origine. Cloudflare fornisce supporto HSTS con il semplice clic di un pulsante.
Automatic HTTPS Rewrites
Automatic HTTPS Rewrites risolve i problemi dei contenuti misti in tutta sicurezza e migliora prestazioni e sicurezza perché riscrive gli URL non sicuri in modo dinamico da host noti (sicuri) alla controparte sicura. Automatic HTTPS Rewrites ti permette di avvantaggiarti degli standard di sicurezza più recenti e delle funzioni di ottimizzazione Web disponibili soltanto tramite HTTPS.
Server Name Indicator Crittografato (SNI)
SNI crittografato sostituisce l'estensione in chiaro "nome_server" usata nel messaggio ClientHello durante la negoziazione TLS con un "nome_server_crittografato". Questa capacità si espande su TLS 1.3, aumentando la privacy degli utenti nascondendo il nome host di destinazione da intermediari tra il visitatore e il sito Web.
Geo Key Manager
Geo Key Manager offre la possibilità di scegliere quali datacenter Cloudflare hanno accesso alle chiavi private per stabilire le connessioni HTTPS. Cloudflare ha preconfigurato opzioni per scegliere tra datacenter negli Stati Uniti o in Europa, oltre ai datacenter con i più elevati requisiti di sicurezza nella rete Cloudflare. I datacenter senza accesso alle chiavi private possono comunque terminare TLS, ma riscontreranno un lieve ritardo iniziale durante il tentativo di connessione al datacenter Cloudflare più vicino memorizzando la chiave privata.
L'SSL di Cloudflare funziona in modo differente a seconda del livello di sicurezza richiesto e delle procedure di configurazione da effettuare. Il traffico diretto all'utente finale sarà sempre crittografato. Ciò significa che il sito Web potrà sempre sfruttare i vantaggi di HTTPS. Tuttavia, il traffico tra Cloudflare e il server di origine può essere configurato in molti modi differenti.
Operazioni con vulnerabilità TLS in scala
I tecnici di Cloudflare devono gestire miliardi di richieste SSL quotidiane e, quando rilevano una nuova vulnerabilità, devono agire tempestivamente. Moltre vulnerabilità non influiscono sugli utenti per merito dei nostri rigidi standard di sicurezza. Tuttavia, ci piace spiegarti come viene aggirata la crittografia.
Padding oracle e il declino delle suite di crittogradia CBC
Nei primi sei mesi del 2016, il supporto client Web per la crittografia AEAD è passato da meno del 40% a oltre il 70%. Scopri perché la modalità Cipher Block Chaining (CBC) non è più considerata completamente sicura.
Logjam: spiegazione della vulnerabilità TLS più recente
I clienti di Cloudflare non sono mai stati interessati dalla vulnerabilità Logjam, ma abbiamo creato un writeup dettagliato che ne illustra il funzionamento.
Crea un'infrastruttura a chiave pubblica
Cloudflare esegue la crittografia di tutto il traffico tra i suoi datacenter utilizzando un'autorità di certificazione interna. A questo scopo, abbiamo creato un set di strumenti PKI open-source.
Supporto al protocollo Roughtime
Aumenta la sicurezza del Web utilizzando un servizio di timestamp autenticato per ridurre gli errori dei certificati TLS.
Dettagli tecnici
Versioni minime dei browser supportati per gli utenti con piano Free dell'SSL di Cloudflare:
Browser desktop
- Firefox 2
- Internet Explorer 7 su Windows Vista
- Windows Vista o OS X 10.6 con:
Chrome 5.0.342.0, Opera 14, Safari 4
Browser per dispositivi mobili
- Mobile Safari su iOS 4.0
- Android 4.0 (Ice Cream Sandwich)
- Windows Phone 7
Nota:
Per i sistemi operativi specificati sono indicate le versioni minime necessarie. Se necessiti di maggiore compatibilità con browser meno recenti, ad esempio quelli per Windows XP SP2 e Android <3.0, usa l'SSL con i piani Pro, Business o Enterprise. Per ulteriori domande, consulta le nostre FAQ.
Configurare Cloudflare è facile
Configura un dominio in meno di 5 minuti mantenendo il tuo provider di hosting e senza dover modificare il codice.
Milioni di proprietà Internet si affidano a noi
Vendite
- Vendite aziendali
- Diventa partner
- Contatta l'ufficio commerciale:
- +1 (650) 319 8930