Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.
Этот пост также доступен на испанском языке.
Сегодня мы рады объявить Total TLS — функцию одним щелчком мыши, которая будет выдавать отдельные сертификаты TLS для каждого поддомена в доменах наших клиентов.
По умолчанию все клиенты Cloudflare получают бесплатный сертификат TLS, который распространяется на вершину и подстановочный знак (example.com, *.example.com) их домена. Теперь, с Total TLS, клиенты могут получить дополнительное покрытие для всех своих субдоменов одним щелчком мыши! После включения клиентам больше не придется беспокоиться об ошибках небезопасного подключения к поддоменам, на которые не распространяется их сертификат TLS по умолчанию, поскольку Total TLS будет держать весь трафик, привязанный к поддоменам, в зашифрованном виде.
Введение в предложения Cloudflare по сертификатам TLS
Универсальный SSL — самый «легкий» вариант
В 2014 году мы анонсировали Universal SSL — бесплатный сертификат TLS для каждого клиента Cloudflare. Универсальный SSL был создан как простое универсальное решение. Для клиентов, которые используют Cloudflare в качестве официального провайдера DNS, этот сертификат распространяется на вершину и подстановочный знак, например, example.com и *.example.com. В то время как универсальный сертификат SSL обеспечивает достаточное покрытие для большинства, у некоторых клиентов есть более глубокие поддомены, такие как abexample.com, для которых они хотели бы покрытие TLS. Для этих клиентов мы создали Advanced Certificate Manager — настраиваемую платформу для выдачи сертификатов, которая позволяет клиентам выдавать сертификаты с именами хостов по своему выбору.
Расширенные сертификаты — «настраиваемый» вариант
Для клиентов, которым нужна гибкость и выбор, мы создаем расширенные сертификаты, которые доступны как часть Advanced Certificate Manager. С расширенными сертификатами клиенты могут указать точные имена хостов, которые будут включены в сертификат.
Это означает, что если моего универсального SSL-сертификата недостаточно, я могу использовать пользовательский интерфейс или API расширенных сертификатов, чтобы запросить сертификат, который охватывает «abexample.com» и «abcexample.com». Сегодня мы разрешаем клиентам размещать до 50 имен хостов в расширенном сертификате. Единственный нюанс — клиенты должны сообщить нам, какие хостнеймы защищать.
Это может показаться тривиальным, но у некоторых наших клиентов есть тысячи поддоменов, которые они хотят защитить. У нас есть клиенты с поддоменами, которые варьируются от abexample.com до abcdefexample.com, и для того, чтобы охватить их, клиенты должны использовать API расширенных сертификатов, чтобы сообщить нам имя хоста, которое они хотели бы, чтобы мы защитили. Подобный процесс подвержен ошибкам, его нелегко масштабировать, и некоторые из наших крупнейших клиентов отвергли его как решение.
Вместо этого клиенты хотят, чтобы Cloudflare выдавала им сертификаты. Если Cloudflare является провайдером DNS, Cloudflare должен знать, какие субдомены нуждаются в защите. В идеале Cloudflare должна выдавать сертификат TLS для каждого субдомена, который передает свой трафик через сеть Cloudflare… и здесь на помощь приходит Total TLS.
Введите Total TLS: простой, настраиваемый и масштабируемый
Total TLS — это кнопка одним нажатием, которая сигнализирует Cloudflare автоматически выдавать сертификаты TLS для каждой прокси-записи DNS в вашем домене. После включения Cloudflare будет выдавать отдельные сертификаты для каждого проксируемого имени хоста. Таким образом, вы можете добавить столько DNS-записей и поддоменов, сколько вам нужно, не беспокоясь о том, будут ли они защищены сертификатом TLS.
Если у вас есть запись DNS для abexample.com, мы выдадим сертификат TLS с именем хоста abexample.com. Если у вас есть подстановочная запись для *.abexample.com, мы выдадим сертификат TLS для «*.abexample.com». Вот пример того, как это будет выглядеть в таблице Edge Certificates на панели инструментов:
Доступен сейчас
Теперь Total TLS можно использовать как часть Advanced Certificate Manager для доменов, использующих Cloudflare в качестве авторитетного поставщика DNS. Одним из преимуществ использования Cloudflare в качестве вашего DNS-провайдера является то, что мы всегда будем добавлять надлежащие записи подтверждения контроля домена (DCV) от вашего имени, чтобы обеспечить успешную выдачу и продление сертификата.
Включить Total TLS легко — вы можете сделать это через панель инструментов Cloudflare или через API. На вкладке SSL/TLS панели инструментов Cloudflare перейдите к Total TLS. Там выберите выдающий ЦС — Let’s Encrypt, Google Trust Services или No Preference, если вы хотите, чтобы Cloudflare выбрал ЦС от вашего имени, затем нажмите переключатель, чтобы включить эту функцию.
Но это не все…
Одной из проблем, которую мы хотели решить для всех клиентов, была видимость. Изучив запросы в службу поддержки и пообщавшись с клиентами, мы поняли, что клиенты не всегда знают, распространяется ли на их домен сертификат TLS — простой недосмотр, который может привести к простоям или ошибкам.
Чтобы этого не произошло, теперь мы собираемся предупредить каждого клиента, если обнаружим, что проксируемая DNS-запись, которую они создают, просматривают или редактируют, не имеет покрывающего ее сертификата TLS. Таким образом, наши клиенты могут получить сертификат TLS, выпущенный до того, как имя хоста станет общедоступным, что предотвратит появление этой ошибки у посетителей:
Присоединяйтесь к миссии
В Cloudflare мы любим создавать продукты, которые помогают защитить все интернет-ресурсы. Заинтересованы в выполнении этой миссии вместе с нами? Присоединиться к команде!
