Panoramica di Keyless SSL

Keyless SSL consente ai siti di utilizzare il servizio SSL di Cloudflare mantenendo la custodia on-premise delle proprie chiavi private. Si tratta di una tecnologia di sicurezza assolutamente innovativa, sviluppata da un team di crittografi, ingegneri dei sistemi e specialisti di rete di Cloudflare.

Il normale servizio SSL che forniamo prevede che il cliente condivida con Cloudflare la chiave SSL del proprio sito. Cloudflare adotta estese misure di natura tecnica per proteggere le informazioni della chiave del cliente. Tuttavia, capita che ostacoli di natura tecnica o normativa impediscano ai clienti di condividere con Cloudflare la chiave SSL del proprio sito. Proprio per questa ragione siamo lieti di presentare Keyless SSL.

Sei già cliente Cloudflare? Accedi

Perché usare Keyless SSL?

Benché la maggior parte dei clienti non abbia alcun problema ad affidare la gestione delle proprie chiavi private a Cloudflare, alcuni hanno in essere requisiti di sicurezza così specifici da rendere impossibile tale condivisione. Keyless SSL permette agli utenti di mantenere il controllo delle chiavi instradando al tempo stesso il proprio traffico crittografato lungo la rete globale di Cloudflare.

Per la prima volta in assoluto, grazie a Keyless SSL un’organizzazione è in grado di impiegare una soluzione infinitamente scalabile e infinitamente elastica come Cloudflare senza essere obbligata a condividere la propria chiave SSL. In questo modo, le aziende possono sfruttare tutti i benefici del cloud (mitigazione degli attacchi DDoS, bilanciamento di carico, WAN Optimization) senza dover scegliere tra la crittografia del traffico e l’affidamento delle proprie chiavi private SSL a un provider terzo.

Come funziona Keyless SSL

Keyless SSL richiede che Cloudflare decodifichi, ispezioni e ricodifichi il traffico per ritrasmetterlo all’origine di un cliente.

Per il traffico non SSL che passa attraverso Cloudflare sono tre gli agenti principali: il client (ad esempio, un browser Web), il nodo edge di Cloudflare, e il server di origine del cliente.

Per il traffico SSL con Keyless SSL abilitato, è presente un endpoint aggiuntivo nella creazione della sessione iniziale SSL, dopo il quale la normale trasmissione riprende.

Il flusso della richiesta per le transazioni Keyless SSL si articola come segue:

1a. Il Client (ad es., un browser Web) si collega al nodo edge di Cloudflare più vicino al cliente tramite il routing di Anycast. Il client invia un segreto al server edge crittografato con la chiave pubblica del sito.

1b. Il server edge contatta il server chiave, autenticandosi con un certificato. Il server edge invia il segreto crittografato al server chiave affinché lo decodifichi. Il server chiave restituisce il segreto decodificato su un tunnel crittografato.

2a. Sia il client che il server utilizzano il segreto condiviso per stabilire una connessione sicura. Il client (ad es., un browser Web) effettua la richiesta su HTTPS della risorsa del cliente gestita da Cloudflare.2b. Il nodo edge di Cloudflare (il server di sessione) decodifica, controlla ed elabora la richiesta originale.Il passaggio di autenticazione avviene una sola volta per ciascuna sessione. Ulteriori richieste inoltrate nell’ambito della medesima sessione non richiedono il controllo addizionale del server chiave. Il cliente ha la possibilità di modificare il TTL (time to live) della sessione SSL da 18 ore fino a un minimo di 5 minuti o a un massimo di 48 ore.Per maggiori dettagli su Keyless SSL vedi questo post sul blog.

Audit di sicurezza di terze parti

La crittografia Keyless SSL di Cloudflare è stata verificata da iSEC Partners in collaborazione con Matasano Security e da tutte le parti di NCC Group, leader mondiale nella sicurezza delle applicazioni e nella verifica crittografica.

Come avere accesso a Keyless SSL

Keyless SSL sarà inizialmente messo a disposizione esclusivamente dei sottoscrittori del piano Enterprise. Per ricevere maggiori informazioni sul piano Enterprise e su Keyless SSL, contatta il nostro team di vendita.

Configurare Cloudflare è facile



Configura un dominio in meno di 5 minuti mantenendo il tuo provider di hosting e senza dover modificare il codice.


Milioni di proprietà Internet si affidano a noi