Header Ads

Home / Notícias / Usando configurações CloudFlare SSL / TLS

Usando configurações CloudFlare SSL / TLS

quinta-feira, setembro 03, 2020

Quase sempre é necessário e recomendado proteger o seu site por meio de um certificado SSL. Isso não apenas aumenta o SEO do seu site, mas também garante a confiança dos visitantes em seu site. Aqui, exploramos o que a CloudFlare oferece em relação a SSL / TLS e como você pode aproveitar essas opções para proteger seu site e aumentar o desempenho.

A CloudFlare inovou no espaço de segurança por muitos anos e trabalhou continuamente para tornar a experiência do usuário final e do desenvolvedor mais fácil. Uma das primeiras empresas a oferecer um certificado SSL gratuito para qualquer site, a CloudFlare também expandiu suas ofertas, sofisticação tecnológica e configurações de segurança.

Pacotes CloudFlare SSL / TLS

CloudFlare oferece várias habilidades diferentes. Apenas entender qual deles faz mais sentido para você é a primeira etapa.

SSL universal

Uma das primeiras ofertas de SSL e a mais popular, SSL universal é a oferta gratuita da CloudFlare. Desde que CloudFlare seja o seu provedor DNS autorizado (necessário para tirar o máximo proveito do CloudFlare), um novo certificado SSL universal será emitido dentro de 15 minutos da ativação do domínio. Existem limitações para a oferta gratuita:

  • Não compatível com todas as versões de navegadores e sistemas operacionais.
  • SSL universal oferece um certificado compartilhado, o que significa que você pode ver nomes de domínio de outros clientes nos nomes alternativos de assunto.
  • Abrange apenas subdomínios de primeiro nível (ou seja, dev. www. example. com não funcionará com SSL).

Gerenciador de certificado avançado (SSL anteriormente dedicado)

Recentemente, a CloudFlare lançou o Advanced Certificate Manager. Por US $ 10,00 por mês, você pode gerar seus certificados com alguns recursos exclusivos:

  • Nomes alternativos de assunto configuráveis ​​(SAN) para cobrir, por exemplo, um subdomínio de segundo nível [dev. www. example. com] (< http: //dev. www. example. com>)
  • Remove a marca CloudFlare do certificado
  • Ajusta a vida útil de um certificado e controla os conjuntos de criptografia

Isso pode ser ativado navegando até a guia SSL / TLS de um domínio CloudFlare e clicando em Order Advanced Certificate.

 

SSL personalizado (somente clientes empresariais e empresariais)

Esta opção permite que um cliente carregue seu certificado que ele pode ter adquirido ou criado separadamente. Normalmente, isso é para clientes com certificados Extended Validation (EV) ou Organization Validated (OV). Certificados autoassinados que não são assinados por uma autoridade de certificação válida não funcionarão aqui.

SSL sem chave (somente clientes empresariais)

Finalmente, a opção SSL sem chave é uma configuração avançada projetada para empresas que possuem políticas que restringem o controle de uma chave privada de certificados. Este processo adiciona alguma latência à solicitação, já que a chave é armazenada em um servidor de chaves controlado pelo cliente que a CloudFlare precisará entrar em contato para servir o conteúdo adequadamente.

Certificados do servidor de origem

Um dos benefícios do SSL universal era que você era capaz de criptografar o tráfego do navegador / cliente para CloudFlare, mas não necessariamente de CloudFlare para um servidor Origin (host da web). Para muitos hosts da web, que não foram configurados corretamente para gerenciar certificados, isso significava que o proprietário de um site ainda seria capaz de servir tráfego criptografado para um navegador.

Isso não é perfeitamente seguro, já que o tráfego de CloudFlare para um host da web não seria criptografado e poderia ser lido usando um ataque do tipo man-in-the-middle. Para atenuar isso, você tem algumas opções.

  • Flexível – Opção padrão sem criptografia do servidor de origem
  • Completo – Criptografia do servidor de origem, mas usando um certificado autoassinado (ou seja, não está comprando um certificado)
  • Completo (estrito) – Validação de que o servidor Origin usa um certificado devidamente assinado

Com a opção Completo (Estrito), existem algumas maneiras adicionais de fazer isso funcionar corretamente ”

  • Let &’ s Encrypt Certificate – Ao usar os certificados SSL gratuitos oferecidos por Let &’ s Encrypt, você terá um certificado válido criptografando a conexão entre seu servidor Origin e CloudFlare.
  • Certificado CA de Origem CloudFlare – Talvez ainda mais fácil seja a capacidade de usar o recurso de certificados de origem do CloudFlare para criar um certificado, que você pode baixar e instalar em seu host da web, que o CloudFlare confia.

Configurações CloudFlare SSL / TLS

Agora que você entende como o CloudFlare SSL / TLS funciona para um determinado domínio, vamos explorar algumas das opções disponíveis para personalizar e proteger a experiência do cliente. Eles estão sujeitos a alterações, mas geralmente só foram adicionados ao longo dos anos.

Sempre use HTTPs

Uma opção de alternância simples força todas as solicitações HTTP a retornar um redirecionamento 301 para o URL HTTPS equivalente. Isso abrange todo o domínio e, se você precisar de uma regra mais direcionada, use a regra da página Sempre usar HTTPS para direcionar uma rota específica.

HTTP Strict Transport Security (HSTS)

HSTS é um tópico extenso com muitas considerações, mas esta configuração adicionará um cabeçalho a uma solicitação que permite a um site especificar e aplicar uma política de segurança em navegadores da web do cliente. Isso ajuda a proteger um site de muitos tipos diferentes de ataque.

Se o SSL for desativado a qualquer momento, os visitantes podem perder o acesso ao seu site durante os cabeçalhos de idade máxima em cache ou até que o HTTPS seja restabelecido e um cabeçalho HSTS com valor 0 seja exibido.

Versão mínima de TLS

Nos dias de hoje, é altamente recomendável que uma versão mínima do TLS 1.2 seja usada, pois as versões mais antigas estão sujeitas a ataques. A versão mais recente, 1.3, ainda não é amplamente adotada, por isso não é aconselhável defini-la como a versão mínima.

Criptografia oportunista

Não pretende substituir o HTTPs, esta configuração informa aos navegadores que uma versão criptografada do site está disponível para outros protocolos, como HTTP / 2. Deve ser usado em conjunto com uma configuração SSL / TLS regular.

TLS 1.3

Esta é a versão mais recente do protocolo TLS, dentro do qual muitos aprimoramentos estão contidos. Esta versão ainda não é amplamente adotada e bloqueada por alguns países, então é aconselhável habilitar, mas não confiar nesta versão do protocolo.

Reescritas HTTPS automáticas

Para ajudar a corrigir problemas de conteúdo misto, ou seja, um link não HTTPS dentro de uma página HTTPS, você pode usar a capacidade do CloudFlare de reescrever o conteúdo da página antes de chegar a um cliente para corrigir esses links. Isso não é perfeito, mas detecta muitos links inconsistentes. O ideal é que o próprio conteúdo seja corrigido.

Monitoramento de transparência de certificado

Um recurso beta mais recente, envia alertas por e-mail ao proprietário da conta quando um novo certificado é emitido para esse domínio específico. Isso ajuda a servir como um sistema de alerta precoce se um malfeitor tentar emitir um certificado para o seu domínio.

Desativar SSL universal

Finalmente, você tem a opção de desativar o SSL universal completamente. Geralmente não é usado, a menos que você tenha uma necessidade muito específica.

Conclusão

A CloudFlare oferece recursos e habilidades abrangentes para gerenciar com segurança e eficácia os certificados do site. CloudFlare está constantemente adicionando novos recursos, tanto para as ofertas gratuitas quanto para as opções pagas. Para SSL e necessidades de segurança, é difícil superar o CloudFlare, especialmente com sua oferta gratuita!

Nenhum comentário

Assinar: Postar comentários ( Atom )