HTTPS de bout en bout avec Cloudflare - Partie 3 : Options SSL

Découvrez quelles options SSL de Cloudflare chiffrent le trafic HTTPS entre Cloudflare et le serveur Web d’origine.


Présentation

La section SSL de l’application SSL/TLS de Cloudflare contient plusieurs options permettant de déterminer si Cloudflare se connecte de manière sécurisée à votre serveur Web d’origine. Après avoir examiné la description de chaque option SSL, reportez-vous à la liste des options SSL recommandées en fonction de la configuration SSL de votre serveur Web d’origine :

Off désactive HTTPS pour les visiteurs de votre site alors que Full (Strict) fournit la sécurité de trafic la plus élévée de bout en bout.

Si votre serveur Web d’origine redirige le trafic HTTP vers HTTPS, ou HTTPS vers HTTP, des erreurs de boucle de redirection peuvent survenir pour les visiteurs du site Web.

Off

cfssl_off.png

Off désactive les connexions HTTPS sécurisées entre les visiteurs et Cloudflare, ainsi qu’entre Cloudflare et votre serveur Web d’origine. Les visiteurs ne peuvent voir votre site Web que via HTTP. Toute tentative de connexion via HTTPS entraîne une redirection HTTP 301 vers HTTP non chiffré.


Flexible

cfssl_flexible.png

L’option SSL Flexible permet d’établir une connexion HTTPS sécurisée entre votre visiteur et Cloudflare, mais force Cloudflare à se connecter à votre serveur Web d’origine via HTTP non chiffré. Un certificat SSL n’est pas requis sur votre serveur Web d’origine et vos visiteurs verront toujours le site avec HTTPS activé.

Flexible n’est pas recommandé si votre site Web contient des informations sensibles. Utilisez l’option Flexible uniquement en dernier recours si vous ne parvenez pas à configurer SSL sur votre serveur Web d’origine.

Full

cfssl_full.png

Full garantit une connexion sécurisée entre le visiteur et votre domaine Cloudflare, ainsi qu’entre Cloudflare et votre serveur Web.

L’option SSL Full ne valide pas l’authenticité du certificat SSL à l’origine. Un certificat auto-signé est autorisé sur le serveur Web d’origine.

Afin d’éviter les erreurs 525, avant d’activer l’option SSL Full, configurez votre serveur Web d’origine pour autoriser les connexions HTTPS sur le port 443 et présentez un certificat SSL auto-signé, un certificat Origin CA de Cloudflare ou un certificat valide acheté auprès d’une autorité de certification.


Full (strict)

cfssl_strict.png

Full (strict) garantit une connexion sécurisée entre le visiteur et votre domaine Cloudflare, ainsi qu’entre Cloudflare et votre serveur Web. Configurez votre serveur Web d’origine pour autoriser les connexions HTTPS sur le port 443 et présentez un certificat Origin CA de Cloudflare ou un certificat valide acheté auprès d’une autorité de certification. Ce certificat doit être signé par une autorité de certification approuvée par Cloudflare, avoir une date d’expiration non dépassée et couvrir le nom de domaine de la requête (nom d’hôte).

L’option SSL Full (strict) vérifie la validité du certificat SSL sur le serveur Web d’origine. Un certificat auto-signé ne peut pas être utilisé. Un certificat Origin CA de Cloudflare ou un certificat valide acheté auprès d’une autorité de certification est requis afin d’éviter les erreurs 526.

Strict (SSL-Only Origin Pull)

Strict (SSL-Only Origin Pull) n'est disponible que pour les zones Entreprise.

Strict (SSL-Only Origin Pull) ordonne au réseau de Cloudflare de toujours se connecter à votre serveur web d'origine en utilisant le cryptage SSL/TLS (HTTPS). Le certificat SSL présenté par le serveur Web d'origine doit être signé par une autorité de certification approuvée par Cloudflare, avoir une date d’expiration non dépassée et couvrir le nom de domaine de la requête (nom d’hôte).

De plus, Strict (SSL-Only Origin Pull) ordonne à Cloudflare d’utiliserAuthenticated Origin Pulls.


Ressources associées

Apprentissage

Résolution de problèmes

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk