Découvrez quels chiffrements et protocoles TLS sont pris en charge par Cloudflare. Apprenez également quels sont les navigateurs pris en charge par les certificats SSL Cloudflare, et quels sont les certificats intermédiaires et racine utilisés pour signer les certificats Cloudflare.
Prise en charge du chiffrement Cloudflare TLS/SSL
Puisque le chiffrement du trafic se produit entre les visiteurs du site Web et Cloudflare, ou entre Cloudflare et votre serveur Web d’origine, Cloudflare distingue les éléments suivants :
- Chiffrements TLS/SSL du serveur Web d’origine pris en charge par Cloudflare
- Chiffrements TLS/SSL de Cloudflare
Chiffrements TLS/SSL du serveur Web d’origine pris en charge par Cloudflare
Selon l’option SSL spécifiée dans l’application SSL/TLS, Cloudflare va se connecter à un serveur Web d’origine via HTTP ou HTTPS. Vous trouverez ci-dessous la liste des chiffrements SSL de serveur d’origine pris en charge par Cloudflare pour TLS 1.3, TLS 1.2 et les versions antérieures de TLS, lors de la connexion à votre serveur Web d’origine via HTTPS :
TLS 1.2 et versions antérieures de TLS :
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-RSA-AES256-SHA384
- AES256-SHA
- DES-CBC3-SHA
TLS 1.3 :
Nom de la suite de chiffrement (IANA) | Suite de chiffrement (valeur octale) |
TLS_AES_128_GCM_SHA256 | {0x13,0x01} |
TLS_AES_256_GCM_SHA384 | {0x13,0x02} |
TLS_CHACHA20_POLY1305_SHA256 | {0x13,0x03} |
Chiffrements TLS/SSL de Cloudflare
La configuration du navigateur client et du serveur Web détermine la suite de chiffrement utilisée, et non le certificat SSL. Lorsqu’un navigateur établit une connexion HTTPS, il envoie une liste des suites de chiffrement qu’il prend en charge. Le serveur Web choisit ensuite celle qu’il souhaite utiliser.
Cloudflare préfère actuellement négocier une connexion utilisant AES128. Pour utiliser AES256, le navigateur d’un client doit appliquer une suite de chiffrement 256 bits. Notre préférence concernant AES128 est susceptible de changer dans le futur.
Vous trouverez ci-dessous la liste des chiffrements SSL pris en charge par Cloudflare pour TLS 1.3 ou TLS 1.2, et versions ultérieures pour les offres payantes :
Nom OpenSSL | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 |
ECDHE-ECDSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA | ✅ | ✅ | ✅ | ❌ |
AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA | ✅ | ✅ | ✅ | ❌ |
DES-CBC3-SHA | ✅ | ❌ | ❌ | ❌ |
AEAD-AES128-GCM-SHA256 | ❌ | ❌ | ❌ | ✅ |
AEAD-AES256-GCM-SHA384 | ❌ | ❌ | ❌ | ✅ |
AEAD-CHACHA20-POLY1305-SHA256 | ❌ | ❌ | ❌ | ✅ |
Pour obtenir des informations récentes sur la configuration SSL de Cloudflare, consultez notre dépôt public de configurations SSL.
Prise en charge du protocole Cloudflare TLS/SSL
Cloudflare utilise uniquement TLS 1.0, TLS 1.1, TLS 1.2 et TLS 1.3 pour établir des connexions SSL entre le visiteur et Cloudflare.
TLS 1.2 est devenu le standard du secteur en 2008. Le Conseil des normes de sécurité de la Payment Card Industry (PCI SSC) et le National Institute of Standards and Technology (NIST) approuvent TLS 1.2 pour renforcer la sécurité sur le Web.
Prise en charge du navigateur Cloudflare TLS/SSL
Cloudflare déploie des certificats SSL supplémentaires pour les forfaits payants par rapport aux forfaits gratuits. Cela permet aux offres payantes de prendre en charge certains appareils plus anciens. Pour en savoir plus sur les protocoles SSL et les chiffrements pris en charge par votre navigateur actuel, rendez-vous sur https://www.ssllabs.com/ssltest/viewMyClient.html.
Prise en charge des navigateurs modernes pour les domaines des plans Cloudflare payants
Les certificats SSL Cloudflare utilisent l’extension SAN (Subject Alternative Names) pour prendre en charge plusieurs domaines sur le même certificat SSL. De plus, les certificats Dedicated SSL et Universal SSL utilisent le SNI (Server Name Indication) avec ECDSA (Elliptic Curve Digital Signature Algorithm). Les certificats SNI et ECDSA fonctionnent avec les navigateurs modernes suivants :
Navigateurs de bureau installés sur Windows Vista ou OS X 10.6 ou ultérieur :
- Internet Explorer 7
- Firefox 2
- Opera 8 (avec TLS 1.1 activé)
- Google Chrome v5.0.342.0
- Safari 2.1
Navigateurs mobiles :
- Mobile Safari pour iOS 4.0
- Android 3.0 (Honeycomb) et versions ultérieures
- Windows Phone 7
Prise en charge des navigateurs modernes sur les domaines Free de Cloudflare
En raison du nombre réduit de certificats SSL fournis pour les domaines Cloudflare sur les offres Free Plan, la prise en charge SSL des navigateurs pour les domaines Free est limitée aux navigateurs légèrement plus récents :
Navigateurs de bureau minimum pris en charge :
- Firefox 2
- Internet Explorer 7 sous Windows Vista
- Windows Vista ou OS X 10.6 avec :
- Chrome 5.0.342.0
- Opera 14
- Safari 4
Navigateurs mobiles minimum pris en charge :
- Mobile Safari sous iOS 4.0
- Android 4.0 (« Ice Cream Sandwich »)
- Windows Phone 7
Certificats SSL intermédiaires et racines utilisés pour signer les certificats Cloudflare
Les certificats Universal SSL sont émis par Sectigo ou Digicert. Les certificats Dedicated SSL et SSL for SaaS sont émis par Digicert.
Sectigo
Cliquez sur le contenu réduit ci-dessous pour obtenir des informations détaillées sur les certificats racine et intermédiaires utilisés pour signer les certificats Cloudflare suivants :
Niveau | Nom commun | Série | Empreinte numérique SHA-1 | Télécharger |
Racine | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
Intermédiaire 1 | Sectigo ECC Certification Authority | 4352023FFAA8901F139FE3F4E5C1444E | AE223CBF20191B40D7FFB4EA5701B65FDC68A1CA | |
Intermédiaire 2 | Sectigo ECC Domain Validation Secure Server CA 2 | 5B25CE6907C4265566D3390C99A954AD | 75CFD9BC5CEFA104ECC1082D77E63392CCBA5291 |
Niveau | Nom commun | Série | Empreinte numérique SHA-1 | Télécharger |
Racine | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
Intermédiaire 1 | Sectigo RSA Certification Authority | 2766EE56EB49F38EABD770A2FC84DE22 | F5AD0BCC1AD56CD150725B1C866C30AD92EF21B0 | |
Intermédiaire 2 | Sectigo RSA Domain Validation Secure Server CA 2 | 0BA2D01DCBCB7776E8AC65097AC12541 | 0BC249478F120F146D5714970A088A3A30C9ED07 |
Digicert
Cliquez sur le contenu réduit ci-dessous pour obtenir des informations détaillées sur les certificats racine et intermédiaires utilisés pour signer les certificats Cloudflare suivants :
Niveau | Nom commun | Série | Empreinte numérique SHA-1 | Télécharger |
Racine | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
Intermédiaire | CloudFlare Inc ECC CA-2 | 0FF3E61639AA3D1A1265F41F8B34E5B6 | 6B53C3B358CEF368201F8741B9C5AEDEEA3861FA |
Niveau | Nom commun | Série | Empreinte numérique SHA-1 | Télécharger |
Racine | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
Intermédiaire | CloudFlare Inc RSA CA-1 | 060DD6C1D067901B5475FCFFC29E3137 | 2AA2B8A223DA08798599B54DE4121757ABA33341 |