Agence web » Actualités du digital » Utilisation des configurations CloudFlare SSL / TLS

Utilisation des configurations CloudFlare SSL / TLS

Il est presque toujours nécessaire et conseillé de sécuriser votre site web via un certificat SSL. Non seulement cela augmente le référencement de votre site, mais cela garantit également la confiance de vos visiteurs dans votre site. Nous explorons ici ce que propose CloudFlare concernant SSL / TLS, et comment vous pouvez profiter de ces options pour sécuriser votre site et augmenter les performances.

CloudFlare a innové dans le domaine de la sécurité pendant de nombreuses années et a continuellement travaillé pour faciliter l'expérience de l'utilisateur final et du développeur. L'une des premières entreprises à offrir un certificat SSL gratuit à n'importe quel site, CloudFlare a également élargi ses offres, sa sophistication technologique et ses paramètres de sécurité.

Packages SSL / TLS CloudFlare

CloudFlare offre plusieurs capacités différentes. La première étape consiste simplement à comprendre celle qui aura le plus de sens pour vous.

SSL universel

L'une des premières offres SSL et la plus populaire, Universal SSL est l'offre gratuite de CloudFlare. À condition que CloudFlare soit votre fournisseur DNS faisant autorité (nécessaire pour tirer pleinement parti de CloudFlare), un nouveau certificat SSL universel sera émis dans les 15 minutes suivant l'activation du domaine. Il y a des limites à l'offre gratuite:

  • Non compatible avec toutes les versions de navigateurs et de systèmes d'exploitation.
  • Universal SSL propose un certificat partagé, ce qui signifie que vous pouvez voir les noms de domaine d'autres clients sur les autres noms du sujet.
  • Ne couvre que les sous-domaines de premier niveau (c'est-à-dire que dev.www.example.com ne fonctionnera pas avec SSL).

Advanced Certificate Manager (SSL précédemment dédié)

Récemment, CloudFlare a déployé le gestionnaire de certificats avancés. Pour 10,00 $ par mois, vous pouvez générer vos certificats avec des fonctionnalités uniques:

  • Noms alternatifs de sujet configurables (SAN) pour couvrir, par exemple, un sous-domaine de deuxième niveau (dev.www.example.com)()
  • Supprime la marque CloudFlare du certificat
  • Ajuste la durée de vie des certificats et contrôle les suites de chiffrement

Cela peut être activé en accédant à l'onglet SSL / TLS à partir d'un domaine CloudFlare et en cliquant sur Commander un certificat avancé.

SSL personnalisé (clients Business et Entreprise uniquement)

Cette option permet à un client de télécharger son certificat qu'il a peut-être acheté ou créé séparément. En règle générale, cela concerne les clients avec des certificats Extended Validation (EV) ou Organization Validated (OV). Les certificats auto-signés qui ne sont pas signés par une autorité de certification valide ne fonctionneront pas ici.

SSL sans clé (clients d'entreprise uniquement)

Enfin, l'option SSL sans clé est une configuration avancée conçue pour les entreprises qui ont des politiques limitant le contrôle d'une clé privée de certificats. Ce processus ajoute une certaine latence à la demande, car la clé est stockée sur un serveur de clés contrôlé par le client que CloudFlare devra contacter pour servir correctement le contenu.

Certificats de serveur d'origine

L'un des avantages d'Universal SSL était que vous pouviez chiffrer le trafic du navigateur / client vers CloudFlare, mais pas nécessairement de CloudFlare vers un serveur Origin (hôte Web). Cela signifiait pour de nombreux hébergeurs Web, qui n'étaient pas correctement configurés pour gérer les certificats, qu'un propriétaire de site Web serait toujours en mesure de fournir du trafic crypté à un navigateur.

Ce n'est pas parfaitement sécurisé, car le trafic de CloudFlare vers un hôte Web serait non chiffré et pourrait être lu à l'aide d'une attaque de type man-in-the-middle. Pour atténuer cela, vous avez quelques options.

  • Souple – Option par défaut sans chiffrement du serveur d'origine
  • Plein – Chiffrement du serveur d'origine mais utilisant un certificat auto-signé (c'est-à-dire ne pas acheter de certificat)
  • Complet (strict) – Validation que le serveur Origin utilise un certificat correctement signé

Avec l'option Complet (Strict), il existe plusieurs moyens supplémentaires de faire fonctionner correctement cette option. »

  • Crypter le certificat – En utilisant les certificats SSL gratuits proposés par Let’s Encrypt, vous disposerez d’un certificat valide chiffrant la connexion entre votre serveur Origin et CloudFlare.
  • Certificat d'autorité de certification d'origine CloudFlare – Peut-être encore plus facile est la possibilité d'utiliser la fonctionnalité Certificats d'origine de CloudFlare pour créer un certificat, que vous pouvez télécharger et installer sur votre hôte Web, auquel CloudFlare fera confiance.

Configurations CloudFlare SSL / TLS

Maintenant que vous comprenez comment CloudFlare SSL / TLS fonctionne pour un domaine donné, explorons certaines des options disponibles pour personnaliser et sécuriser l'expérience d'un client. Celles-ci sont sujettes à changement mais n'ont généralement été ajoutées qu'au fil des ans.

Utilisez toujours les HTTP

Une simple option d'interrupteur à bascule force tout HTTP demandes de retour d'une redirection 301 vers l'équivalent HTTPS URL. Cela concerne l'ensemble du domaine, et si vous avez besoin d'une règle plus ciblée, utilisez la règle de page Toujours utiliser HTTPS pour cibler une route spécifique.

HTTP Strict Transport Security (HSTS)

HSTS est un long sujet avec de nombreuses considérations, mais ce paramètre ajoutera un en-tête à une demande qui permet à un site Web de spécifier et d'appliquer une politique de sécurité dans les navigateurs Web des clients. Cela permet de sécuriser un site Web contre de nombreux types d'attaques différents.

Si SSL devient désactivé à tout moment, vos visiteurs peuvent perdre l'accès à votre site pendant la durée de la mise en cache max-age en-têtes, ou jusqu'à ce que HTTPS soit rétabli et un en-tête HSTS avec une valeur de 0 est servi.

Version TLS minimale

À l'heure actuelle, il est fortement recommandé qu'une version minimale de TLS 1.2 est utilisé, car les anciennes versions sont sujettes à des attaques. La dernière version, 1.3 n'est pas encore largement adoptée, il est donc déconseillé de la définir comme version minimale.

Chiffrement opportuniste

Non destiné à remplacer les HTTP, ce paramètre indique aux navigateurs qu'une version chiffrée du site est disponible pour d'autres protocoles, tels que HTTP / 2. Cela doit être utilisé en conjonction avec une configuration SSL / TLS standard.

TLS 1.3

Il s'agit de la dernière version du protocole TLS, dans laquelle de nombreuses améliorations sont contenues. Cette version n'est toujours pas largement adoptée et bloquée par certains pays, il est donc sage d'activer mais de ne pas se fier à cette version de protocole.

Réécritures HTTPS automatiques

Pour aider à résoudre les problèmes de contenu mixte, c'est-à-dire un lien non HTTPS dans une page HTTPS, vous pouvez utiliser la possibilité pour CloudFlare de réécrire le contenu de la page avant de contacter un client pour corriger ces liens. Ce n'est pas parfait mais attrape de nombreux liens incohérents. Idéalement, le contenu lui-même devrait être corrigé.

Surveillance de la transparence des certificats

Une nouvelle fonctionnalité bêta, qui envoie des alertes par e-mail à un propriétaire de compte lorsqu'un nouveau certificat est émis pour ce domaine particulier. Cela permet de servir de système d'alerte précoce si un mauvais acteur tente d'émettre un certificat pour votre domaine.

Désactiver Universal SSL

Enfin, vous avez la possibilité de désactiver complètement Universal SSL. Ceci n'est généralement pas utilisé sauf si vous avez un besoin très spécifique.

Conclusion

CloudFlare offre des fonctionnalités et des capacités étendues pour gérer de manière sécurisée et efficace les certificats de site. CloudFlare ajoute constamment de nouvelles fonctionnalités, à la fois aux offres gratuites et aux options payantes. Pour les besoins SSL et de sécurité, il est difficile de battre CloudFlare, surtout avec leur offre gratuite!

★★★★★