Eseguire la crittografia di molto traffico Web per impedire furto di dati e altre manomissioni rappresenta un passaggio fondamentale per rendere Internet un luogo migliore e più sicuro. Siamo lieti di essere la prima azienda dedicata a sicurezza e prestazioni di Internet a offrire protezione SSL gratuitamente.
L’SSL (Secure Socket Layer) costituisce la tecnologia di sicurezza standard per stabilire un collegamento crittografato tra un server web e un browser. Tale collegamento sicuro garantisce che tutti i dati trasferiti rimangano privati. È anche detto TLS (Transport Layer Security). Milioni di siti web utilizzano quotidianamente la crittografia SSL per proteggere le connessioni e i dati dei clienti da tracciamento e manomissione ## Perché usare l’SSL?
Ogni sito web su Internet dovrebbe essere gestito tramite HTTPS. Ecco il motivo:
La configurazione manuale di SSL richiede numerosi passaggi e un'errata configurazione potrebbe impedire agli utenti di accedere al tuo sito web. Cloudflare consente a tutte le proprietà Internet di diventare HTTPS-enabled con un semplice clic. Quando usi Cloudflare, non dovrai più preoccuparti per la scadenza dei certificati SSL o di rimanere aggiornato sulle vulnerabilità SSL più recenti.
L’HTTPS non è più quello di una volta. È più veloce, più sicuro e utilizzato da un numero sempre crescente di siti Web. Il protocollo SSL abilita l’HTTP/2, che è in grado di raddoppiare la velocità dei siti Web e senza apportare modifiche a basi di codici esistenti. Il moderno protocollo TLS include inoltre funzionalità dedicate alle prestazioni, quali ripresa della sessione, associazione OCSP e crittografia a curva ellittica che utilizza chiavi più piccole (con conseguente handshake più rapido) Il TLS 1.3 riduce ulteriormente la latenza ed elimina le caratteristiche di non sicurezza del TLS, rendendo l’HTTPS più sicuro e performante rispetto a qualsiasi versione precedente del TLS e al suo omologo non sicuro, HTTP.
Cloudflare si è perfino impegnato a migliorare le prestazioni di OpenSSL. Abbiamo implementato ChaCha20-Poly1305, una suite di crittografia 3 volte più veloce rispetto ad AES-128-GCM sui dispositivi mobili. Abbiamo a cuore le prestazioni.
L'SSL di Cloudflare funziona in modo differente a seconda del livello di sicurezza richiesto e delle procedure di configurazione che si desidera effettuare. Il traffico diretto all'utente finale sarà sempre crittografato. Ciò significa che il tuo sito web potrà sempre godere dei vantaggi dell’HTTPS. Tuttavia, il traffico tra Cloudflare e il server di origine può essere configurato in diversi modi.
L’SSL flessibile cripta il traffico da Cloudflare agli utenti finali del tuo sito web, ma non da Cloudflare al server di origine. È il modo più semplice di attivare l'HTTPS poiché non richiede l’installazione di un certificato SSL sulla tua origine. Pur non essendo sicuro come le altre opzioni, SSL flessibile protegge i visitatori da una vasta gamma di minacce, tra cui spiare il WiFi pubblico e l'injection di pubblicità tramite HTTP.
La modalità SSL completa offre crittografia dall'utente finale a Cloudflare e da Cloudflare al server di origine. Ciò richiede la presenza un certificato SSL nel server di origine. Nella modalità SSL completa, è possibile installare i certificati sul server in tre modi diversi: installare quello rilasciato da un'autorità di certificazione (Strict), quello rilasciato da Cloudflare (Origin CA), oppure installare un certificato auto-firmato. Ti consigliamo di utilizzare il certificato ottenuto tramite Cloudflare Origin CA.
L'autorità di certificazione di origine Origin CA utilizza un certificato SSL rilasciato da Cloudflare anziché uno emesso da un'autorità di certificazione. Ciò consente di ridurre quasi tutti i problemi di configurazione dell'SSL sul server di origine e al contempo proteggere il traffico dalla tua origine a Cloudflare. Invece di ottenere un certificato firmato da un'autorità di certificazione, puoi generare automaticamente un certificato firmato nel dashboard di Cloudflare.
Cloudflare esegue il provisioning automatico dei certificati SSL condivisi dai domini di più clienti. Gli utenti Business ed Enterprise possono caricare un certificato SSL personalizzato e dedicato che sarà mostrato agli utenti finali. Ciò consente l'utilizzo di certificati di validazione estesa (EV) e di certificati di organizzazione convalidati (OV).
La conformità PCI 3.2 richiede TLS 1.2 o 1.3, in quanto sono note vulnerabilità in tutte le versioni precedenti di TLS e SSL. Cloudflare fornisce un'opzione "Modern TLS Only" che obbliga tutto il traffico HTTPS dal tuo sito Web ad essere servito tramite TLS 1.2 o 1.3.
Opportunistic Encryption offre ai domini solo HTTP che non possono essere aggiornati a HTTPS (a causa di contenuti misti o di altri problemi legacy) i vantaggi delle funzioni di crittografia e ottimizzazione Web disponibili soltanto usando TLS senza modificare righe di codice.
##TLS Client Auth Il servizio di autenticazione reciproca di Cloudflare (TLS Client Auth) crea una connessione sicura tra un client, come un dispositivo IoT o un'applicazione mobile, e la sua origine. Quando un client tenta di stabilire una connessione con il suo server di origine, Cloudflare convalida il certificato del dispositivo per controllare che sia autorizzato ad accedere all'endpoint. Se il dispositivo ha un certificato client valido (paragonabile alla chiave di accesso a un edificio), il dispositivo è in grado di stabilire una connessione sicura. Se il certificato del dispositivo manca, è scaduto o non valido, la connessione viene rifiutata e Cloudflare mostra un errore 403.
Supportare il protocollo HTTP Strict Transport Security (HSTS) è uno dei modi più facili per proteggere meglio siti web, API o applicazioni mobili. L’HSTS è un'estensione del protocollo HTTP che obbliga i client a utilizzare connessioni sicure per ogni richiesta inviata al server di origine. Cloudflare fornisce supporto HSTS con un semplice clic.
Automatic HTTPS Rewrites elimina gli inconvenienti dei contenuti misti in tutta sicurezza e migliora le prestazioni e la sicurezza poiché riscrive gli URL non sicuri in modo dinamico dagli host noti (sicuri) ai loro omologhi sicuri. Imponendo una connessione sicura, Automatic HTTPS Rewrites permette di beneficiare di standard e funzioni di sicurezza di ultima generazione, disponibili solo tramite HTTPS.
SNI crittografato sostituisce l'estensione in chiaro "nome_server" usata nel messaggio ClientHello durante la negoziazione TLS con un "nome_server_crittografato". Questa capacità si espande su TLS 1.3, aumentando la privacy degli utenti nascondendo il nome host di destinazione da intermediari tra il visitatore e il sito Web.## Geo Key Manager offre la possibilità di scegliere quali datacenter Cloudflare hanno accesso alle chiavi private per stabilire connessioni HTTPS. Cloudflare ha preconfigurato opzioni per scegliere tra datacenter negli Stati Uniti o in Europa, oltre ai datacenter con i più elevati requisiti di sicurezza nella rete Cloudflare. I datacenter senza accesso a chiavi private possono comunque terminare il TLS, ma riscontreranno un lieve ritardo iniziale durante il tentativo di connessione al datacenter di Cloudflare più vicino in cui è memorizzata la chiave privata.
I certificati SSL dedicati offrono crittografia e compatibilità di alto livello insieme a prestazioni eccellenti, disponibili tramite la nostra CDN. Sono sufficienti pochi clic nel dashboard di Cloudflare per emettere nuovi certificati, generare chiavi private in totale sicurezza e altro ancora. I certificati SSL dedicati sono disponibili a pagamento per tutti i piani di abbonamento Cloudflare. Ulteriori informazioni
I tecnici di Cloudflare devono gestire miliardi di richieste SSL quotidiane e, quando rilevano una nuova vulnerabilità, devono agire tempestivamente. Moltre vulnerabilità non influiscono sugli utenti per merito dei nostri rigidi standard di sicurezza. Tuttavia, ci piace spiegarti come viene aggirata la crittografia.
Nei primi sei mesi del 2016, il supporto web client per la crittografia AEAD è passato da meno del 50% a oltre il 70%. Scopri perché la modalità "cipher block chaining" non è più considerata completamente sicura. Leggi di più
I clienti di Cloudflare non sono mai stati interessati dalla vulnerabilità Logjam, ma abbiamo creato un writeup dettagliato che ne illustra il funzionamento. scopri di più
Cloudflare esegue la crittografia di tutto il traffico tra i suoi datacenter utilizzando la propria autorità di certificazione interna. Per farlo, abbiamo creato un set di strumenti PKI open-source. Ulteriori informazioni
Aumenta la sicurezza del Web utilizzando un servizio di timestamp autenticato per ridurre gli errori dei certificati TLS. Ulteriori informazioni
Configura un dominio in meno di 5 minuti. Mantieni il tuo provider di hosting. Non è necessario apportare modifiche al codice.
Qualsiasi applicazione Internet può trarre benefici dall'utilizzo di Cloudflare.
Scegli un piano adatto alle tue esigenze.
Versioni minime dei browser supportati per gli utenti con piano Free dell'SSL di Cloudflare:
Per i sistemi operativi specificati sono indicate le versioni minime necessarie. Se necessiti di maggiore compatibilità con browser meno recenti, ad esempio quelli per Windows XP SP2 e Android <3.0, usa l'SSL con i piani Pro, Business o Enterprise. Per ulteriori domande, consulta le nostre FAQ.