Prise en charge du chiffrement, du navigateur et du protocole SSL Cloudflare

Découvrez quels chiffrements et protocoles TLS sont pris en charge par Cloudflare. Apprenez également quels sont les navigateurs pris en charge par les certificats SSL Cloudflare, et quels sont les certificats intermédiaires et racine utilisés pour signer les certificats Cloudflare.


Prise en charge du chiffrement Cloudflare TLS/SSL

Puisque le chiffrement du trafic se produit entre les visiteurs du site Web et Cloudflare, ou entre Cloudflare et votre serveur Web d’origine, Cloudflare distingue les éléments suivants :

Chiffrements TLS/SSL du serveur Web d’origine pris en charge par Cloudflare

Selon l’option SSL spécifiée dans l’application SSL/TLS, Cloudflare va se connecter à un serveur Web d’origine via HTTP ou HTTPS. Vous trouverez ci-dessous la liste des chiffrements SSL de serveur d’origine pris en charge par Cloudflare pour TLS 1.3, TLS 1.2 et les versions antérieures de TLS, lors de la connexion à votre serveur Web d’origine via HTTPS :


TLS 1.2 et versions antérieures de TLS :

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA
  • DES-CBC3-SHA

TLS 1.3 :

Nom de la suite de chiffrement (IANA)

Suite de chiffrement (valeur octale)

TLS_AES_128_GCM_SHA256

{0x13,0x01}

TLS_AES_256_GCM_SHA384

{0x13,0x02}

TLS_CHACHA20_POLY1305_SHA256

{0x13,0x03}

 

Chiffrements TLS/SSL de Cloudflare

La configuration du navigateur client et du serveur Web détermine la suite de chiffrement utilisée, et non le certificat SSL. Lorsqu’un navigateur établit une connexion HTTPS, il envoie une liste des suites de chiffrement qu’il prend en charge. Le serveur Web choisit ensuite celle qu’il souhaite utiliser.

Cloudflare préfère actuellement négocier une connexion utilisant AES128. Pour utiliser AES256, le navigateur d’un client doit appliquer une suite de chiffrement 256 bits. Notre préférence concernant AES128 est susceptible de changer dans le futur.

Vous trouverez ci-dessous la liste des chiffrements SSL pris en charge par Cloudflare pour TLS 1.3 ou TLS 1.2, et versions ultérieures pour les offres payantes :

 

Nom OpenSSL

TLS 1.0

TLS 1.1

TLS 1.2

TLS 1.3

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-CHACHA20-POLY1305

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-CHACHA20-POLY1305

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

DES-CBC3-SHA

AEAD-AES128-GCM-SHA256 

AEAD-AES256-GCM-SHA384 

AEAD-CHACHA20-POLY1305-SHA256

Pour obtenir des informations récentes sur la configuration SSL de Cloudflare, consultez notre dépôt public de configurations SSL.

Les domaines libres utilisant Universal SSL reçoivent des certificats SHA2+ECDSA. Cela nécessite des navigateurs clients prenant en charge la cryptographie sur les courbes elliptiques (ECC) et le SNI.

Prise en charge du protocole Cloudflare TLS/SSL

Cloudflare utilise uniquement TLS 1.0, TLS 1.1, TLS 1.2 et TLS 1.3 pour établir des connexions SSL entre le visiteur et Cloudflare.

TLS 1.2 est devenu le standard du secteur en 2008. Le Conseil des normes de sécurité de la Payment Card Industry (PCI SSC) et le National Institute of Standards and Technology (NIST) approuvent TLS 1.2 pour renforcer la sécurité sur le Web.

SSLv3 n’est pas pris en charge en raison de vulnérabilités de sécurité. La version 1.0 de TLS est considérée comme non sécurisée en raison de sa vulnérabilité aux attaques telles que BEAST et POODLE.

Prise en charge du navigateur Cloudflare TLS/SSL

Cloudflare déploie des certificats SSL supplémentaires pour les forfaits payants par rapport aux forfaits gratuits. Cela permet aux offres payantes de prendre en charge certains appareils plus anciens. Pour en savoir plus sur les protocoles SSL et les chiffrements pris en charge par votre navigateur actuel, rendez-vous sur https://www.ssllabs.com/ssltest/viewMyClient.html.

Prise en charge des navigateurs modernes pour les domaines des plans Cloudflare payants

Les certificats SSL Cloudflare utilisent l’extension SAN (Subject Alternative Names) pour prendre en charge plusieurs domaines sur le même certificat SSL.  De plus, les certificats Dedicated SSL et Universal SSL utilisent le SNI (Server Name Indication) avec ECDSA (Elliptic Curve Digital Signature Algorithm). Les certificats SNI et ECDSA fonctionnent avec les navigateurs modernes suivants :

Navigateurs de bureau installés sur Windows Vista ou OS X 10.6 ou ultérieur :

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (avec TLS 1.1 activé)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Navigateurs mobiles :

  • Mobile Safari pour iOS 4.0
  • Android 3.0 (Honeycomb) et versions ultérieures
  • Windows Phone 7

Prise en charge des navigateurs modernes sur les domaines Free de Cloudflare

En raison du nombre réduit de certificats SSL fournis pour les domaines Cloudflare sur les offres Free Plan, la prise en charge SSL des navigateurs pour les domaines Free est limitée aux navigateurs légèrement plus récents :

Navigateurs de bureau minimum pris en charge :

  • Firefox 2
  • Internet Explorer 7 sous Windows Vista
  • Windows Vista ou OS X 10.6 avec :
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

Navigateurs mobiles minimum pris en charge :

  • Mobile Safari sous iOS 4.0
  • Android 4.0 (« Ice Cream Sandwich »)
  • Windows Phone 7

Certificats SSL intermédiaires et racines utilisés pour signer les certificats Cloudflare

Les certificats Universal SSL sont émis par Sectigo ou Digicert. Les certificats Dedicated SSL et SSL for SaaS sont émis par Digicert.

Sectigo

Cliquez sur le contenu réduit ci-dessous pour obtenir des informations détaillées sur les certificats racine et intermédiaires utilisés pour signer les certificats Cloudflare suivants :

Digicert

Cliquez sur le contenu réduit ci-dessous pour obtenir des informations détaillées sur les certificats racine et intermédiaires utilisés pour signer les certificats Cloudflare suivants :


Ressources associées

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk