SSL da Cloudflare para provedores de SaaS

A adoção de criptografia SSL/TLS para organizações online tornou-se uma prática recomendada de segurança, sendo cada vez mais uma exigência devido às pressões das grandes empresas de tecnologia que desejam construir uma Internet mais segura. Por exemplo, o navegador Google Chrome começou a rotular de forma visível como “não seguro” os sites que não usavam HTTPS para os usuários, no final de 20161. Ao mesmo tempo, o navegador Firefox, da Mozilla, começou a emitir avisos ainda mais graves para os usuários que tentassem enviar formulários com informações que não estivessem protegidos por HTTPS.2.

Tratamento de páginas HTTP pelo Chrome 68

O SSL da Cloudflare para SaaS permite que o cliente final da empresa de SaaS continue usando um domínio personalizado enquanto garante a comunicação por meio de SSL. Os benefícios para os clientes finais são uma experiência com marca para o visitante, mais confiança, classificações melhores de SEO e a possibilidade de usar HTTP/2 para alcançar maior velocidade. A Cloudflare automatiza todo o ciclo de vida de SSL, desde a compra até à implantação e a renovação dos certificados, o que é feito em minutos, permitindo que as empresas de SaaS ofereçam esse benefício como parte do fluxo de integração do cliente.

Fale conosco!

Existem três cenários em que o provedor de SaaS pode se enquadrar, ao atender às necessidades dos clientes finais de SSL:

Domínio sem criptografia, mas com marca personalizada

Os domínios personalizados sem SSL não têm os benefícios de desempenho do SSL e a transferência segura de dados, o que os torna vulneráveis à espionagem e à alteração de conteúdo por injeção de conteúdo, antes de chegarem aos visitantes.

Domínio criptografado mas sem marca

Domínios com SSL ativado por meio de um provedor de SaaS não têm um domínio personalizado, o que resulta na degradação da marca e em classificações mais baixas de SEO.

Método de validação interna

Fornecedores de SaaS que desejam domínios personalizados de marca e criptografados podem gerenciar manualmente os ciclos de vida de SSL, resultando em tempos de implementação longos e custos adicionais, ou criar uma solução interna complexa e automatizada.

“Com o SSL para SaaS temos implementado um fluxo mais simples porque a API da Cloudflare lida com o provisionamento, a entrega, a renovação e a manutenção dos certificados SSL dos nossos clientes. Além disso, HTTPS de ponto a ponto significa que agora reforçamos a privacidade e o desempenho para os clientes, e que somos capazes de usar recursos do navegador, como o armazenamento local, o que antes não era possível.”
Andrew Murray
Diretor de tecnologia da Olo

Pronto para otimizar o desempenho e a segurança da oferta de SaaS?

Entre em contato com a Cloudflare.

Cloudflare Argo avoids congestion

Experiências de visitantes com marca

Provedores de SaaS que oferecem aos clientes finais a opção de apresentar domínios personalizados podem continuar a fazê-lo e desfrutar dos benefícios adicionais de um certificado SSL totalmente gerenciado. Os domínios de marca oferecem aos clientes finais classificações mais altas de SEO e maior confiança do visitante.

Cloudflare Argo reuses connections

Ativos de cliente seguros e com bom desempenho

Certificados SSL/TLS em domínios de clientes finais garantem o transporte seguro de dados confidenciais de clientes, protegendo-os contra ataques man-in-the-middle e escuta de rede. Além disso, o protocolo HTTP/2 fica disponível para melhorias ainda maiores na velocidade.

Cloudfare Argo works on Cloudflare's private network

Gestão automatizada de ciclo de vida de SSL

A Cloudflare gerencia todo o ciclo de vida de SSL de um domínio personalizado de cliente do provedor de SaaS, desde a criação e a proteção da chave privada até a validação, a emissão, a renovação e a reemissão do domínio.

Cloudflare Argo tiered caching

Implementações rápidas de SSL global

Durante o processo de emissão de SSL, a Cloudflare implanta novos certificados em toda a rede global de 155 data centers, colocando HTTPS online em poucos minutos, o mais próximo possível dos visitantes.

Desafios da construção de uma solução interna de SSL

Há dois caminhos que podem ser usados para criar uma solução de SSL in-house para domínios personalizados, os quais exigem grandes esforços, tanto para o provedor de SaaS como para o cliente final. O caminho automatizado (superior) no diagrama abaixo, automatiza o processo de SSL, mas exige grandes esforços de engenharia e a solução de desafios de segurança complexos. O caminho manual (inferior) exige esforços de ambas as equipes, tanto do provedor de SaaS como de seus clientes finais, com maior possibilidade de perda de prazos de expiração de certificados e quedas no serviço. Independentemente do caminho escolhido, é provável que o desempenho seja afetado, a menos que os certificados de SSL possam ser implantados em uma rede de distribuição global de grande porte.

Somente HTTP CNAMEs Manualmente carregar certificados Manualmente gerenciar certificado ciclos de vida Criar e treinar contato do cliente equipe API personalizada integração (por exemplo, usando Let's Encrypt) Tempo Engenharia Trabalho Caminho automatizado Caminho manual Como de sites cresce Global certificado distribuição rede Renovações manuais com o necessário trabalho do cliente Avançado desafios Lidar com segurança chaves de criptografia Constante manutenção e constante apoiar os esforços Caminho da Cloudflare Integração fácil de API/ IU da Cloudflare

CNAMEs somente HTTP

No início, os clientes finais do provedor de SaaS só enviam e recebem tráfego HTTP nos domínios personalizados com CNAME.

Como funciona o SSL para SaaS?

O SSL para processo de SaaS é totalmente controlado pela Cloudflare e somente exige que os fornecedores de SaaS façam uma única chamada à API — ou deem alguns cliques no painel da Cloudflare — como parte de um fluxo de trabalho de integração de domínio personalizado de um cliente final. Depois disso, basta que os clientes finais do provedor de SaaS adicionem o CNAME inicial ao domínio do provedor de SaaS. A Cloudflare administra todo o processo restante de integração do domínio personalizado.

O restante deste processo é gerenciado pela Cloudflare e inclui:

  • Solicitar à autoridade de certificação para validar o domínio personalizado do cliente final para emissão de certificados SSL.
  • Receber um token de validação da autoridade de certificação e o tornar acessível a partir da borda da Cloudflare.
  • Instruir a autoridade de certificação de concluir a validação HTTP e, em seguida, solicitar que a autoridade de certificação emita os certificados SSL.
  • Receber certificados e os enviar à borda da rede da Cloudflare 155+ data centers em todo o mundo para otimizar a latência e o desempenho de TLS.

Dúvidas frequentes

P: Como o tráfego dos meus clientes é enviado para minha origem? É protegido?

R: Sim, a Cloudflare incentiva o uso do modo SSL completo ou estrito, para que o tráfego enviado para a sua origem utilize HTTPS. Essa opção pode ser configurada na aba Crypto da sua zona. Se você estiver usando o modo estrito, deverá assegurar-se de que os certificados na origem contenham um Subject Alternative Names (SAN) correspondente ao hostname do seu cliente, por exemplo support.yourcustomer.site. Nosso produto Origin CA pode ser usado para gerenciar esses certificados para uso no modo Estrito.

P: Quanto tempo demora para emitir um certificado e tê-lo pronto para uso?

R: Normalmente, os certificados são validados, emitidos, e enviados para nossa borda em poucos minutos. É possível monitorar o andamento por meio dos vários estados — inicializando, aguardando validação, aguardando emissão, aguardando implantação e ativo — por meio de uma chamada GET.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

P: E as renovações ou novas emissões? Eu ou meus clientes precisamos fazer algo?

R: Não, a Cloudflare cuida de tudo isso para você. Os certificados que emitimos são válidos por um ano inteiro (365 dias) e serão renovados automaticamente pelo menos 30 dias antes do vencimento. Esses certificados são emitidos unicamente em nome de seu cliente e, por isso, enquanto o CNAME ainda estiver implementado, poderemos continuar renovando facilmente, demonstrando o “controle de validação de domínio” desse hostname. Se o cliente tiver cancelado, incentivamos que você envie à Cloudflare uma solicitação DELETE para que a Cloudflare possa retirar o certificado da borda e não tentar renová-lo.

P: Que benefícios da Cloudflare terão meus clientes?

R: Exceto por proteger a infraestrutura de DNS dos seus clientes (a menos que estejam também usando a Cloudflare como servidor de nomes autoritativo), a resposta mais simples é: todos eles. Depois que o tráfego for apontado para seu hostname autorizado, a Cloudflare poderá fornecer proteção de DDoS líder no setor, CDN, WAF, HTTP/2, balanceamento de carga e muito mais.

P: E se meu cliente já estiver usando HTTPS no hostname personalizado? Existe uma maneira de evitar tempo de inatividade durante a migração?

R: Em alguns casos, você já poderá ter criado uma solução internamente baseada em materiais importantes fornecidos pelo cliente. Ou seu cliente estará usando o hostname desejado com um concorrente (ou uma solução interna) que fornece HTTPS e não pode tolerar uma janela de manutenção curta.

Para esses casos, estendemos os dois métodos alternativos “de pré-validação” disponíveis nos Certificados Dedicados do SSL para a oferta de SaaS : email e CNAME. Basta alterar o método SSL na chamada da API acima, de “http” para “email” ou “cname” e enviar o pedido. Consulte a documentação da API para obter mais informações.

O outro método alternativo, token CNAME, é normalmente usado quando você controla o DNS para os nomes personalizados (alguns de nossos clientes de SaaS, especialmente aqueles que fornecem a criação de sites e serviços de hospedagem, permitem que o domínio personalizado seja registrado como parte do fluxo de trabalho).

Por último, você está livre para fornecer o token HTTP retornado pelo método de validação “http” na sua origem (em vez de deixar a Cloudflare inseri-lo durante o proxy reverso) e nossa fila de repetição automática vai detectá-lo, uma vez que ele estiver atuando. Se você quiser informar a Cloudflare quando isso estiver pronto e ter uma nova tentativa imediata, poderá enviar um patch ao ponto de extremidade, com o mesmo corpo de SSL que enviou durante o POST, e o verificaremos imediatamente.

Pronto para otimizar o desempenho e a segurança da oferta de SaaS?

Entre em contato com a Cloudflare.