SSL da Cloudflare para provedores de SaaS

A adoção da criptografia SSL/TLS tornou-se uma prática recomendada de segurança para organizações on-line e, devido à pressão das gigantes de tecnologia que ambicionam construir uma internet mais segura, é cada vez mais vista como obrigatória. O navegador Google Chrome, por exemplo, começou a sinalizar sites que não usam HTTPS como “Não Seguros” para os usuários no final de 2016.1 Ao mesmo tempo, o navegador Mozilla Firefox começou a emitir avisos ainda mais alarmantes aos usuários que tentam enviar formulários de informações não protegidos por HTTPS.2

tratamento de http

Fale conosco!

As informações que você fornece à Cloudflare são regidas pelos termos da nossa Política de Privacidade.

success logo

Obrigado

Em breve um representante da Cloudflare entrará em contato.

O SSL para SaaS da Cloudflare permite que o cliente final da empresa de SaaS continue usando um domínio pessoal personalizado e, ao mesmo tempo, garante a comunicação por meio de SSL. As vantagens para os clientes finais incluem uma experiência de visitantes com marca personalizada, mais confiança, melhores classificações de SEO e a possibilidade de usar HTTP/2 para obter um maior aumento de velocidade. A Cloudflare automatiza todo o ciclo de vida de SSL, desde a compra até à implantação e a renovação dos certificados, o que é feito em minutos, permitindo que as empresas de SaaS ofereçam esse benefício como parte de seu fluxo de integração do cliente.

Existem três cenários nos quais o provedor de SaaS pode se encontrar ao atender as necessidades de SSL do cliente final:

ssl for saas scenario 1

Domínio pessoal sem criptografia, mas com marca personalizada

Os domínios pessoais personalizados sem SSL não têm os benefícios de desempenho do SSL e a transferência segura de dados, o que os torna vulneráveis à espionagem e à alteração do conteúdo ou injeção de conteúdo antes de chegar aos visitantes.

ssl for saas scenario 2

Domínio criptografado, mas sem marca personalizada

Os domínios com SSL ativado por meio de um provedor de SaaS não têm um domínio pessoal personalizado, o que resulta na degradação da marca e em classificações de SEO mais baixas.

ssl for saas scenario 3

Método de validação interno

Os provedores de SaaS que desejam domínios pessoais de marca personalizada criptografados podem gerenciar os ciclos de vida de SSL manualmente, o que resulta em longos tempos de implantação e custos indiretos, ou criar uma solução interna complexa e automatizada.

“Com o SSL for SaaS implementamos um fluxo mais simples, porque a API da Cloudflare gerencia o provisionamento, a distribuição, a renovação automática e a manutenção dos certificados SSL de nossos clientes. Além disso, com o protocolo HTTPS de ponta a ponta reforçamos a privacidade e o desempenho dos nossos clientes e podemos aproveitar recursos do navegador como o armazenamento local, algo que antes não era possível usar."
Andrew Murray
Diretor de tecnologia da Olo

Entre em contato com a Cloudflare.

Experiências de visitantes com marca personalizada

Experiências de visitantes com marca personalizada

Os provedores de SaaS que oferecem aos clientes finais a opção de trazer um domínio personalizado podem continuar a fazê-lo e, ao mesmo tempo, desfrutar dos benefícios adicionais de um certificado SSL totalmente gerenciado. Domínios com marca personalizada oferecem aos clientes finais classificações de SEO mais altas e aumentam a confiança dos visitantes.

Ativos do cliente seguros e funcionando

Ativos do cliente seguros e funcionando

Os certificados SSL/TLS nos domínios de clientes finais garantem o transporte seguro de dados sensíveis de clientes, protegendo contra ataques man-in-the-middle e espionagem na rede. Além disso, o protocolo HTTP/2 fica disponível para aumentos de velocidade ainda maiores.

Gestão automatizada do ciclo de vida de SSL

Gestão automatizada do ciclo de vida de SSL

A Cloudflare gerencia todo o ciclo de vida de SSL do domínio pessoal personalizado do cliente de um provedor de SaaS, desde a criação da chave privada e a proteção do domínio à validação, emissão, renovação e reemissão.

Rápidas implantações do SSL globalmente

Rápidas implantações do SSL globalmente

Durante o processo de emissão de SSL, a Cloudflare implanta os novos certificados em sua rede global de data centers, presentes em 200 cidades, habilitando o HTTPS em questão de minutos e o mais próximo possível dos visitantes.

Desafios do desenvolvimento de uma solução de SSL interna

Há dois caminhos que podem ser trilhados para criar uma solução interna de SSL para domínios pessoais personalizados e ambos requerem um grande esforço, tanto para o provedor de SaaS quanto para o cliente final. O caminho automatizado (na parte de cima) no diagrama abaixo automatiza o processo de SSL, mas requer amplos esforços de engenharia e a solução de desafios de segurança complexos. O caminho manual (na parte de baixo) exige esforços tanto da parte do provedor de SaaS quanto de seus clientes finais, com grande possibilidade de perda do prazo de expiração de certificados e de interrupções. Independentemente do caminho escolhido, é provável que o desempenho seja afetado, a menos que os certificados SSL possam ser implantados em uma rede de distribuição global de grande porte.

  CNAMEs somente HTTP Upload manual de certificados Upload gerenciamento de ciclos de vida do certificado Desenvolver e treinar a equipe de contato com o cliente Integração personalizada de APIs (por exemplo, usando o Let's Encrypt ) Tempo Iniciativa de engenharia Caminho automatizado Caminho manual À medida que o número de sites cresce Global de ciclos de vida distribuição rede Renovações manuais que exigem esforço por parte do cliente Desafios avançados Gerenciar com segurança as chaves de criptografia Manutenção e esforços de suporte contínuos O caminho da Cloudflare API fácil da Cloudflare/ Integração da IU

CNAMEs somente HTTP

No início, os clientes finais do provedor de SaaS irão enviar e receber apenas tráfego HTTP nos seus domínios pessoais personalizados com CNAME.

Upload manual de certificados

Para iniciar os processos de adição de SSL a domínios pessoais personalizados com CNAME , é configurado um processo segundo o qual os clientes podem comprar e enviar os certificados adquiridos para o provedor SaaS, que irá carregá-los manualmente.

Gerencie manualmente os ciclos de vida dos certificados

Após carregar manualmente os certificados dos clientes, é necessário o gerenciamento manual para lidar com o ciclo de vida dos certificados em questão. Esse processo envolve a emissão/proteção de chaves privadas por meio da validação de domínio, emissão, renovação e reemissão.

Desenvolva a integração de APIs (por ex., usando o Let's Encrypt)

À medida que o número total de sites e clientes usando os serviços de um provedor de SaaS começa a aumentar, será necessário tomar uma decisão: automatizar o processo de ciclo de vida de certificados SSL para domínios personalizados, o que demanda um alto grau de esforço de engenharia, ou continuar a desenvolver ao máximo o gerenciamento manual do ciclo de vida, o que exige menos esforço técnico, mas sobrecarrega as equipes internas e os clientes finais.

Manuseie as chaves de criptografia com segurança

As chaves privadas precisam ter um local de armazenamento seguro, ser criptografadas em repouso e jamais gravadas em discos rígidos em formato de texto. Criptografar as chaves é fácil, mas descriptografá-las durante o processo é difícil porque exige um esforço manual ou técnico significativo. As melhores práticas para o gerenciamento de chaves privadas estão publicadas no site OWASP.org. A Cloudflare é especialista em gerar e proteger chaves privadas para milhões de domínios por meio de nossos produtos de SSL Universal, Certificados Dedicados e SSL para SaaS.

Rede global de distribuição de certificados

A distribuição sistemática de certificados globalmente, tornando-os disponíveis o mais próximo possível dos visitantes de seus clientes, é necessária para mitigar as perdas de desempenho. Quanto mais longe a solicitação do visitante de um cliente precisar viajar, mais lento será o tempo de carregamento da página. Com o TLS 1.2, uma handshake TLS inicial exige 2 viagens de ida e volta. Se esse handshake só puder acontecer em poucos lugares, o desempenho será prejudicado.

Manutenção e esforços de suporte contínuos (caminho automatizado)

Para as empresas de SaaS que escolheram uma abordagem automatizada para construir uma solução de SSL interna, a maior parte da manutenção será manter as bases de código atualizadas e compatíveis com as integrações e padrões da autoridade de certificação.

Desenvolver e treinar a equipe de contato com o cliente

Será necessária uma equipe nova ou existente na empresa do provedor de SaaS para gerenciar manualmente os ciclos de vida dos certificados para os clientes finais. As equipes de contato do cliente precisarão entrar em contato com eles para oferecer atualizações na época de expiração dos certificados e solicitar a renovação de novos certificados.

Renovação manual que exige um esforço por parte do cliente

Os clientes precisarão participar do processo de renovação de certificados, renovando e reenviando esses certificados à equipe responsável por gerenciar o processo de upload. Também precisarão executar o processo de renovação antes da expiração dos certificados existentes. Se os certificados existentes chegarem a expirar, os ativos de internet do cliente provavelmente ficarão off-line se nenhuma medida preventiva for adotada.

Rede global de distribuição de certificados

A distribuição sistemática de certificados globalmente, tornando-os disponíveis o mais próximo possível dos visitantes de seus clientes, é necessária para mitigar as perdas de desempenho. Quanto mais longe a solicitação do visitante de um cliente precisar viajar, mais lento será o tempo de carregamento da página. Com o TLS 1.2, uma handshake TLS inicial exige 2 viagens de ida e volta. Se esse handshake só puder acontecer em poucos lugares, o desempenho será prejudicado.

Manutenção e esforços de suporte contínuos (caminho manual)

Para empresas de SaaS que adotaram a abordagem manual para desenvolver uma solução SSL interna, a maior parte da manutenção consistirá de esforços manuais contínuos da parte dos provedores de SaaS para proteger as chaves privadas com segurança e gerenciar os ciclos de vida dos certificados, lembrar ao cliente a necessidade de renovação e carregar novamente os novos certificados; os clientes finais dos provedores de SaaS precisarão participar do processo relativo ao ciclo de vida de certificados, renovando e reenviando os certificados regularmente.

Fácil integração entre a IU e as APIs da Cloudflare

A solução de SSL para SaaS da Cloudflare exige interferência técnica mínima e alivia o fardo que o gerenciamento do ciclo de vida de certificados SSL impõe, tanto aos provedores de SaaS quanto aos clientes finais.

Como funciona o SSL para SaaS?

A Cloudflare se encarrega totalmente do processo de SSL para SaaS. Os provedores de SaaS só precisam enviar uma única chamada de API — ou de alguns cliques no painel de controle da Cloudflare — como parte do fluxo de integração do domínio personalizado de um cliente final. A seguir, os clientes finais do provedor de SaaS só precisam adicionar o CNAME inicial ao domínio do provedor de SaaS. A Cloudflare cuida de todo o resto do processo de integração do domínio personalizado.

O resto desse processo é gerenciado pela Cloudflare e inclui:

— Solicitar que a entidade certificadora valide o domínio personalizado do cliente final para emitir o certificado SSL. — Receber um token de validação da entidade certificadora e torná-lo acessível na borda da Cloudflare. — Instruir a entidade certificadora a efetuar a validação de HTTP e, em seguida, solicitar que ela emita os certificados SSL. — Receber os certificados e enviá-los para a borda da rede de data centers da Cloudflare, presentes em 200 cidades do mundo todo, otimizando-os de modo a reduzir a latência e aumentar o desempenho do TLS.

Dúvidas frequentes

P: Como o tráfego dos meus clientes é enviado para a minha origem? O processo é protegido?

R: Sim, a Cloudflare incentiva a utilização do modo SSL Completo ou Estrito para que o tráfego enviado para a sua origem utilize HTTPS. Essa opção pode ser configurada na guia Cripto da sua zona. Se você estiver usando o modo Estrito, precisará garantir que os certificados na origem contenham um Nome Alternativo de Assunto (SAN) correspondente ao hostname do seu cliente., como, por exemplo, support.yourcustomer.site. Nosso produto Origin CA pode ser usado para gerar esses certificados de modo que sejam usados no modo Estrito.

P: Quanto tempo demora para que um certificado seja emitido e fique pronto para ser usado?

R: Os certificados são normalmente validados, emitidos e enviados para a nossa borda em poucos minutos. É possível monitorar o progresso dos vários estados (Inicializando, Aguardando validação, Aguardando emissão, Aguardando implantação e Ativo) fazendo uma chamada GET.

$ curl -sXGET -H "X-Auth-Key: [SUA CHAVE]" -H "X-Auth-Email: [SEU E-MAIL]" https://www.cloudflare.com/api/v4/zones/[ID DA ZONA]/custom_hostnames?hostname=support.yourcustomer.site
{
"resultado": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"tipo": "dv",
"método": "http",
"status": "ativo"
}
},
"sucesso": true
}

P: E quanto às renovações ou reemissões? Eu ou meus clientes precisamos fazer alguma coisa?

R: Não. A Cloudflare cuida de tudo isso para você. Os certificados que emitimos são válidos por um ano inteiro (365 dias) e serão renovados automaticamente pelo menos 30 dias antes do vencimento. Esses certificados são emitidos exclusivamente em nome do seu cliente e, por isso, enquanto o CNAME estiver funcionando poderemos continuar a renová-los facilmente demonstrando o “controle de validação de domínio” desse hostname. Se o cliente tiver cancelado, recomendamos que você envie à Cloudflare uma solicitação de EXCLUSÃO para que a Cloudflare possa retirar o certificado da borda e não tente renová-lo.

P: Quais vantagens da Cloudflare meus clientes poderão aproveitar?

R: Com exceção de proteger a infraestrutura de DNS dos seus clientes (a menos que também estejam usando a Cloudflare como nameservice autoritativo), a resposta mais direta é: todas. Depois que o tráfego for apontado para o seu hostname autorizado, a Cloudflare poderá fornecer os melhores serviços do setor em termos de proteção de DDoS, CDN, WAF, HTTP/2, balanceamento de carga e muito mais.

P: E se meu cliente já estiver usando HTTPS no hostname personalizado? Existe uma maneira de evitar tempo de inatividade durante a migração?

R: Em alguns casos, você já poderá ter criado uma solução internamente baseada em materiais importantes fornecidos pelo cliente, ou seu cliente pode estar usando o hostname desejado com um concorrente (ou solução interna) que fornece HTTPS e não é capaz de aguentar uma janela de manutenção reduzida.

Para esses casos, oferecemos os dois métodos alternativos de “pré-validação” disponíveis nos Certificados Dedicados que constam da oferta de SSL para SaaS: e-mail e CNAME. Basta alterar o método de SSL na chamada de API acima, de “http” para “e-mail” ou “cname”, e enviar a solicitação. Consulte a documentação da API para obter mais informações.

O outro método alternativo, token CNAME, é normalmente usado quando você controla o DNS para os nomes pessoais personalizados (alguns de nossos clientes de SaaS, especialmente os que oferecem criação de sites e serviços de hospedagem, permitem que o domínio personalizado seja registrado como parte do fluxo de trabalho).

Para terminar, você tem liberdade para fornecer o token HTTP retornado pelo método de validação “http” na sua origem (em vez de deixar a Cloudflare inseri-lo durante o proxy reverso) e nossa fila de retentativa automática vai detectá-lo, assim que ele estiver atuando. Se você quiser informar à Cloudflare que o token está atuando para que a retentativa seja imediata, poderá enviar um PATCH ao ponto de extremidade com o mesmo corpo de SSL que enviou durante o POST e verificaremos isso imediatamente.

Entre em contato com a Cloudflare.