SaaS 提供者適用的 Cloudflare SSL

由於大型科技公司企盼打造更安全的網際網路的壓力，線上組織採用 SSL/TLS 加密已成為安全性最佳實作並逐漸成為要求。例如，Google Chrome 網路瀏覽器在 2016 年底開始為其使用者標記未使用 HTTPS 的網站為「不安全」¹。與此同時，Mozilla 的 FireFox 網路瀏覽器也開始向試圖提交未受 HTTPS 保護的型態之資訊的使用者發佈更嚴重的警告。²

Chrome 68 對 HTTP 網頁進行的處理

Cloudflare 的 SaaS 適用 SSL 可讓 SaaS 公司的終端客戶繼續使用自訂的高級網域，同時透過 SSL 確保其通訊。終端客戶的效益包括品牌訪客體驗、提高信任、搜尋引擎最佳化排名，以及使用 HTTP/2，大幅加快速度的能力。 Cloudflare 會自動化執行整個 SSL 生命週期，從採購到部署，及至更新憑證，而這全都在幾分鐘內完成，使 SaaS 公司能提供此效益作為客戶導入流程的一部分。

請和我們聊聊！

名字 * 名字是必要欄位。請輸入名稱。

姓氏 * 姓氏是必要欄位。請輸入名稱。

公司 * 公司名稱是必要欄位。請輸入公司名稱。

電子郵件 * 不正確的電子郵件。請再試一次。

電話 * 電話號碼是必要欄位。請輸入電話號碼。

網站 * 網站 URL 是必要欄位。請輸入網站，格式如下：http://www.example.com.

您的隱私對我們很重要。

在處理 SSL 終端客戶需求時，SaaS 提供者會發現他們屬於三種情節的其中一種：

未加密但品牌化的自訂網域

無 SSL 的自訂網域缺少 SSL 的效能與安全資料傳輸優勢，因此內容在傳遞給訪客前易被窺探，且可能被竄改或插入惡意程式碼。

加密但未品牌化的網域

透過 SaaS 提供者啟用 SSL 的網域缺少自訂高級網域，因此會使得品牌認知度與搜尋引擎排名下降。

內部方法的挑戰

想要加密品牌化自訂網域的 SaaS 提供者可以手動管理 SSL 生命週期 (但這樣會導致部署時間變長且成本過高)，或建置複雜的自動化內部解決方案。

「使用適用 SaaS 的 SSL，我們得以實施一套較簡單的流程，因為 Cloudflare 的 API 會處理佈建、服務、自動更新和維護我們客戶的 SSL 憑證。此外，端點對端點的 HTTPS 代表現在我們已經為客戶發展了隱私權和效能，並可利用過去不可能使用的瀏覽器功能如本地儲存等。」

Andrew Murray
Olo 技術長

準備好最佳化您 SaaS 方案的效能和安全性了嗎？

與 Cloudflare 聯絡。

今天就與我們聯絡

品牌化訪客體驗

SaaS 提供者可以持續為終端客戶提供使用品牌化自訂網域的選項，同時享受完全管理之 SSL 憑證的額外優勢。品牌化網域則會為終端客戶帶來更高的搜尋引擎排名並提升訪客信任度。

有效率地保護客戶資產

終端客戶網域上的 SSL/TLS 憑證可確保安全傳輸敏感的客戶資料，保護抵禦攔截攻擊和網路窺探。此外，也可使用 HTTP/2 通訊協定，享有大幅加快的速度。

自動 SSL 生命週期管理

Cloudflare 會管理 SaaS 提供者之客戶自訂網域的整個 SSL 生命週期，從私密金鑰簽發和透過網域驗證、簽發、更新與重新簽發的保護措施。

快速全球部署 SSL

在 SSL 簽發過程中，Cloudflare 會於其全球網路的 194 處資料中心部署新的憑證，只要幾分鐘就能讓 HTTPS 上線，並儘可能接近訪客。

建立内部 SSL 解決方案的挑戰

要為自訂高級網域建立內部 SSL 解決方案，可以採取兩種路線，兩者都需要 SaaS 提供者與終端客戶的額外配合。下圖中的自動化路線 (上方) 會自動執行 SSL 程序，但需要額外的工程作業且必須處理複雜的安全性挑戰。手動路線 (下方) 需要 SaaS 提供者團隊與其終端客戶雙方的心力，而且有較高可能性錯過憑證效期和斷線。無論選擇哪一條路線都可能犧牲效能，除非能夠在大規模的全球傳輸網路上部署 SSL 憑證。

僅 HTTP 的 CNAME

一開始，SaaS 提供者終端客戶只會在其 CNAME 自訂高級網域上傳送和接收 HTTP 流量。

SaaS 適用的 SSL 是如何運作？

SaaS 適用的 SSL 程序是完全由 Cloudflare 處理，並且只需要 SaaS 提供者發送單一 API 呼叫 (或在 Cloudflare 儀表板點擊幾下) 作為終端客戶自訂網域導入流程。在此之後，SaaS 提供者的終端客戶只需要將最初的 CNAME 加入 SaaS 提供者的網域即可。自訂網域導入流程的剩餘部分將完全由 Cloudflare 管理。

此過程由 Cloudflare 管理的其他部分包括：

請求憑證簽署機構驗證終端客戶的自訂網域，以供簽發 SSL 憑證。
接收來自憑證簽署機構的驗證權杖，並使其可從 Cloudflare 的邊緣存取。
指示憑證簽署機構完成 HTTP 驗證，然後請求憑證簽署機構發出 SSL 憑證。
接收憑證並將其推送到 Cloudflare 位於世界各地 194+ 資料中心的網路邊緣，最佳化延遲和 TLS 效能。

常見問題集

問：我的客戶的流量是如何傳送到我的來源？這安全嗎？

答：是的，Cloudflare 鼓勵您使用完整或嚴格 SSL 模式，讓傳送到您的來源的流量使用 HTTPS。此選項可在您區域的 Crypto 標籤中進行配置。如果您正使用嚴格模式，您必須確保您的來源上的憑證含有符合客戶代管主機名稱 (如 support.yourcustomer.site) 的主體別名 (SAN)。我們的來源 CA 產品可用來產生用於嚴格模式的這些憑證。

問：簽發憑證並將其備妥以供使用，需時多久？

答：憑證通常會在幾分鐘內經過驗證、簽發然後推送到我們這一端。只要進行 GET 呼叫，您就可監控此進度的各個階段：初始化、等待驗證、等待簽發、等待部署、生效。


$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site


{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

問：那麼關於續發或再簽發呢？我或我的客戶需要作任何操作嗎？

答：不需要，Cloudflare 會為您處理一切。我們簽發的憑證整整一年 (365 天) 有效，並將在到期至少 30 天前續發。這些憑證是以您客戶的代管主機名稱獨有簽發，因此只要 CNAME 還在，我們就能輕鬆持續更新，只需展示該代管主機名稱的「網域驗證控制」即可。如果客戶有所變動，我們鼓勵您傳給 Cloudflare 一筆刪除請求，好讓 Cloudflare 可以從邊緣抽走憑證，並停止試圖續發。

問：我的客戶將可享有 Cloudflare 的哪些效益？

答：簡短的答案是：全部。但不包含保護您客戶的 DNS 基礎結構 (除非他們也使用 Cloudflare 進行權威名稱服務)。一旦他們的流量指向您的白名單代管主機名稱，Cloudflare 就能提供領先業界的 DDoS 防護、CDN、WAF、HTTP/2、負載平衡等功能。

問：如果我的客戶已經在他們的自訂代管主機名稱上使用 HTTPS 呢？是否有方法在避免停機的狀況下進行遷移？

答：在某些情况下，您可能已經根據客戶所提供的關鍵材料，從內部拼凑出解決方案。或者您的客戶已從提供 HTTPS 的競爭者處 (或內部解決方案) 取得他們想要的代管主機名稱，且無法容忍短暫的維護空檔。

針對這些情況，我們已在我們的 SaaS 適用 SSL 產品中延伸出兩種可供選擇的替代專用憑證「預驗證」方法：電子郵件和 CNAME。只需在上述 API 呼叫中將 SSL 方法從「http」改為「email」或「cname」並傳送請求即可。請參閱 API 文件了解更多資訊。

另一種替代方法為 CNAME 權杖，通常用在您控制了高級名稱的 DNS (我們的一些 SaaS 客戶，尤其是那些提供網站架設和代管服務者，會允許將自訂網域註冊為工作流程的一部分)。

最後，您可以自由傳輸在您的來源上由「http」驗證方法傳回的 HTTP 權杖 (而不是讓 Cloudflare 在反向代理期間將它置入)，而我們的自動重試佇列將會在它就位時偵測到它。如果您想通知 Cloudflare 權杖已經就位並可立即重試，您隨時都可以使用您在 POST 期間傳送的 SSL 主體，將 PATCH 傳送到端點，我們將會立刻進行檢查。

¹https://motherboard.vice.com/en_us/article/google-chrome-shaming-http-unencrypted-websites-january

²https://blog.mozilla.org/security/2017/01/20/communicating-the-dangers-of-non-secure-http/