オンライン事業者にとって、SSL/TLS暗号化を採用することは、従来セキュリティ上のベストプラクティスでしたが、より安全なインターネットの構築を目指す大手テクノロジー企業からの圧力によって、これが必須要件となりつつあります。たとえば、Google ChromeのWebブラウザーでは、2016年末より、HTTPSを使用しないWebサイトをユーザーに「安全でない」と明示するようになりました。それと同時に、MozillaのFireFoxのWebブラウザーでは、HTTPSによって保護されていない情報フォームを提出しようとするユーザーに対して、深刻な警告を出すようになりました。2
CloudflareのSSL for SaaSでは、SaaS企業のエンドカスタマーはカスタムバニティドメインを使用したまま、SSLによる通信を確保できます。エンドカスタマーのメリットには、ブランド名が含まれる訪問者の体験、信頼性の向上、SEOランキング、HTTP/2を使用した高速化などがあります。Cloudflareでは、購入から導入までのSSLライフサイクル全体を自動化しており、証明書の更新は数分で完了するため、顧客のオンボーディングフローの一環として、SaaS企業はこのメリットを提供できます。
SSLを使用しないカスタムバニティドメインは、SSLによるパフォーマンスの利点がなく安全にデータを転送できません。のぞき見に対して脆弱なために訪問者が閲覧する前にコンテンツが編集されたりインジェクション攻撃を受けるおそれがあります。
SaaSプロバイダーを通じてSSLに対応済みでカスタムバニティドメインでないドメインは結果的にブランド力やSEOランキングが低くなります。
暗号化したうえでブランド名を含むバニティドメインを希望するSaaSプロバイダーはSSLのライフサイクルを手動で管理することができますが、展開期間が長期に及んで間接費がかかるか、複雑な自動ソリューションを社内で構築する結果になります。
Cloudflareにお問い合わせください。
ブランド名の含まれる訪問者の体験
ブランド名が含まれるカスタムドメインをエンドカスタマーに提供するオプションを持つSaaSプロバイダーは、それを継続したまま完全に管理されたSSL証明書の追加メリットを得ることができます。ブランド名が含まれるドメインは、エンドカスタマーに高いSEOランキングを提供し、訪問者の信頼を向上させます。
顧客資産の安全性とパフォーマンスを確保
エンドカスタマードメインのSSL/TLS証明書は、重要な顧客データの安全な転送を保証し、中間者攻撃やネットワークのスヌーピング(のぞき見)を防ぎます。さらに、HTTP/2プロトコルを使用することで、さらに高速になります。
SSLライフサイクルの自動管理
Cloudflareは、SaaSプロバイダーが提供する顧客のバニティドメインのSSLのライフサイクル全体において、プライベートキーの作成や保護から、ドメインの検証、発行、更新、再発行にいたるまで管理します。
グローバルSSLを迅速に展開
SSL発行のプロセス中に、Cloudflareは200都市にあるデータセンターのグローバルネットワークに新しい証明書をデプロイし、訪問者に可能な限り近い場所で数分以内にHTTPSが使用可能になります。
CloudflareがSSL for SaaSのプロセスをすべて行います。SaaSプロバイダーに必要な操作は、エンドカスタマーのカスタムドメインオンボーディングワークフローの一環として、単一のAPI呼び出しを送信するか、Cloudflareのダッシュボード内で数回クリックするのみです。その後、SaaSプロバイダーのエンドカスタマーは、最初のCNAMEをSaaSプロバイダーのドメインに追加するだけです。残りのカスタムドメインのオンボーディングプロセスは、Cloudflareがすべて管理します。
このプロセスの残りの部分はCloudflareによって管理され、以下が含まれます。
Q:顧客のトラフィックはどのように配信元に送信されますか。それは安全ですか。
A:はい、安全です。Cloudflareでは、FullまたはStrict SSLモードの使用を推奨しています。そうすることで、配信元へのトラフィックはHTTPSを使用します。このオプションは、ゾーンのCryptoタブで設定できます。Strictモードを使用している場合は、配信元の証明書に顧客のホスト名と一致するSubject Alternative Names(SAN:サブジェクトの別名)が含まれていることを確認する必要があります(例:support.yourcustomer.site.)CloudflareのOrigin CA製品は、Strictモードでこれらの証明書を作成するために使用できます。
Q:証明書を発行して使用できるまで、どのくらい時間がかかりますか。
A:証明書は通常数分以内に検証・発行され、Cloudflareのエッジにプッシュされます。GETを呼び出すことにより、初期化中、検証保留中、発行保留中、展開保留中、アクティブなどの進行状況を確認できます。
$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONEID]/custom_hostnames?hostname=support.yourcustomer.site
{
"result": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"type": "dv",
"method": "http",
"status": "active"
}
},
"success": true
}
Q:更新や再発行の際に、プロバイダーまたは顧客に必要な手続きはありますか。
A:いいえ。Cloudflareがすべての手続きを代行します。発行する証明書は1年間(365日)有効で、有効期限の少なくとも30日前に自動更新が行われます。これらの証明書は顧客のホスト名で一意的に発行されるため、CNAMEが存在する限り、そのホスト名の「ドメイン検証コントロール」を実証することで簡単に更新を続けることができます。顧客が他のサービスに乗り換えた場合は、CloudflareにDELETE(削除)リクエストを送信してください。Cloudflareがエッジから証明書を引き出すことで、更新を停止できます。
Q:私たちのお客様にとって、Cloudflareを使うメリットは何ですか。
A:(Cloudflareの権威ネームサービスをご利用ではない)顧客のDNSインフラストラクチャの保護を除いて、お客様はすべてのメリットを受けることができます。トラフィックがホワイトラベル化されたホスト名へと向けられると、Cloudflareが業界をリードするDDoS保護、CDN、WAF、HTTP/2、負荷分散などをご提供できるようになります。
Q:私たちのお客様がすでにカスタムホスト名でHTTPSを使用している場合はどうなりますか。移行中にダウンタイムを避ける方法はありますか。
A:顧客から提供されたキーマテリアルに基づいて、すでに内部的にソリューションを組み合わせている場合があります。または、顧客がHTTPSを提供する競合他社(または社内ソリューション)で希望のホスト名を使用していて、短期の保守期間が許容されない場合もあります。
このようなケース向けに、SSL for SaaS製品(メールとCNAME)の専用証明書に利用できる、2つの代替の「事前検証」の手法をご用意しました。上のAPI呼び出しでSSLの手法を「http」から「email」または「cname」に変更してリクエストを送信するだけです。詳細については、APIの資料を参照してください。
他の代替手法であるCNAMEトークンは、一般的にバニティネームのDNSをコントロールする際に使用されます(SaaSの一部の顧客、特にWebサイトの構築サービスやホスティングサービスを提供する顧客の一部で、カスタムドメインをワークフローの一部として登録できるようにします)。
最後に、配信元の「http」検証手法によって返されたHTTPトークンを自由に提供できます(Cloudflareがリバースプロキシ中に挿入するのではなく)。Cloudflareの自動再試行キューは、実行された時点で検出します。いったんCloudflareを実行してすぐに再試行を希望する場合は、POST中に送信したのと同じSSL本体を使用してPATCHをエンドポイントに送信すると、Cloudflareはただちにチェックを行います。
Cloudflareにお問い合わせください。