在线组织采用 SSL / TLS 加密已成为一种安全性最佳实践,并且由于希望建立更安全的互联网的大型技术公司的压力,这已日益成为一种要求。例如,从 2016 年底开始,谷歌浏览器开始将不使用 HTTPS 的网站标记为“不安全”。与此同时,Mozilla 的火狐浏览器开始对试图提交未由 HTTPS 保护的信息形式的用户发出更严重的警告。2
Cloudflare SSL for SaaS 允许 SaaS 公司的最终客户继续使用自定义虚域,同时通过 SSL安全证书保护其通信。最终客户的利益包括品牌访问者体验、增强的信任度、SEO 排名以及使用 HTTP/2 来提高速度的能力。Cloudflare 可以自动完成从购买到部署再到证书更新的整个 SSL 生命周期,并且可以在几分钟之内完成,使 SaaS 公司可以在客户上线流程中提供这一优势。
没有 SSL 的自定义虚域缺乏 SSL 的性能优势和安全的数据传输,致使它们容易受到监听,并且在到达访问者之前被修改或注入内容。
通过 SaaS 提供商启用 SSL 的域缺少自定义虚域,从而导致品牌降级和较低的 SEO 排名。
想要加密品牌化虚域的 SaaS 提供商可以手动管理 SSL 生命周期,从而延长部署时间和开销成本,也可以构建复杂的自动内部解决方案。
与 Cloudflare 联系。
品牌访问者体验
为最终客户提供自有品牌自定义网域方案的 SaaS 提供商可以继续这样做,同时享受完全托管的 SSL 证书的额外好处。自有品牌网域为最终客户提供了更高的 SEO 排名并提高了访问者的信任度。
安全和高性能客户资产
最终客户域上的 SSL/TLS 证书可确保敏感客户数据的安全传输,防止中间人攻击和网络监听。此外,HTTP/2 协议可用于进一步提高速度。
自动化 SSL 生命周期管理
Cloudflare 管理 SaaS 提供商的客户虚域的整个 SSL 生命周期,从私钥创建和保护到域验证、签发、续订和重新发布,一应俱全。
快速的全球 SSL 部署
在 SSL 签发程序期间,Cloudflare 在其覆盖 200 个城市的全球数据中心网络中部署新证书,使 HTTPS 在数分钟内上线,并尽可能接近访问者。
SSL for SaaS 流程完全由 Cloudflare 处理,并且仅需要 SaaS 提供商发送一个 API 调用(或在 Cloudflare 仪表板中单击几下),作为最终客户自定义网域上线流程的一部分。之后,SaaS 提供商最终客户只需要将初始 CNAME 添加到 SaaS 提供商的域中。Cloudflare 完全管理其余自定义网域的上线流程。
此过程的其余部分由 Cloudflare 管理,包括:
问:客户的访问量如何发送到我的源站?它安全吗?
答:是的,Cloudflare 鼓励您使用 Full 或 Strict SSL 模式,以便流量使用 HTTPS 发送到您的源站。可以在区域的 Crypto 选项卡下配置此选项。如果使用 Strict 模式,则必须确保源站上的证书中包含与客户的主机名匹配的主题备用名称 (SAN),如support.yourcustomer.site。我们的 Origin CA 产品可用于生成这些证书以用于 Strict 模式。
问:签发证书并准备使用需要多长时间?
答:证书通常在几分钟内即可得到验证、签发并推送到我们的边缘。您可以通过发起 GET 调用来监视各种状态(初始化、待定验证、待签发、待部署、活动)的进度。
$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONEID]/custom_hostnames?hostname=support.yourcustomer.site
{
"result": {
"id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
"hostname": "support.yourcustomer.site",
"ssl": {
"id": "3463325d-8116-48f3-ab4e-a75fb9727326",
"type": "dv",
"method": "http",
"status": "active"
}
},
"success": true
}
问:续签或重新签发呢?我或我的客户需要做什么事情吗?
答:不,Cloudflare 会为您处理所有一切。我们颁发的证书有效期为一年(365 天),并且将在到期前至少 30 天自动更新。这些证书以您客户的主机名唯一地颁发,因此,只要 CNAME 仍然存在,我们就可以通过展示该主机名的“网域验证控制”来继续轻松续订。如果客户有其他想法,我们建议您向 Cloudflare 发送 DELETE 请求,以便 Cloudflare 可以从边缘删除证书而不尝试续订。
问:我的客户将享受 Cloudflare 的哪些好处?
答:除了保护客户的 DNS 基础结构(除非他们还将 Cloudflare 用于权威名称服务)外,简短的答案是:所有好处。一旦他们的流量指向您的白标主机名,Cloudflare 就能够提供行业领先的 DDoS 保护、CDN、WAF、HTTP/2、负载平衡等。
问:如果我的客户已经在其自定义主机名上使用 HTTPS 怎么办?有没有办法避免迁移时的停机时间?
答:在某些情况下,您可能已经在内部根据客户提供的关键材料拼凑了一个解决方案。或者您的客户选择提供 HTTPS 的竞争对手(或内部解决方案)来使用其所需的主机名,无法忍受短暂的维护周期。
对于这些情况,我们将 Dedicated Certificates 中可用的两种替代“预验证”方法扩展到我们的 SSL for SaaS 产品:电子邮件和 CNAME。只需在上面的 API 调用中将 SSL 方法从“http”更改为“email”或“cname”,然后发送请求即可。有关更多信息,请参见 API 文档。
CNAME 令牌是另一种替代方法,通常在您控制 DNS 的自定义名称时使用(我们的某些 SaaS 客户,特别是那些提供网站建设和托管服务的客户,允许将自定义网域注册为工作流的一部分)。
最后,您可以在源站上自由提供“http”验证方法返回的 HTTP 令牌(而不是让 Cloudflare 在反向代理期间插入它),并且一旦它就位,我们的自动重试队列将对其进行检测。如果您想在其就位后告诉 Cloudflare 并立即重试,则始终可以向端点发送 PATCH,使用 POST 期间发送的相同 SSL 正文,我们将立即进行检查。
与 Cloudflare 联系。