FAQ SSL

Universal SSL, qu'est-ce que c'est ?
Universal SSL est tout simplement le nom de notre service de SSL gratuit . Il permet à tous les budgets (à partir de l'offre Gratuite) de protéger leur contenu transféré contre les attaques. 

Y a-t-il une différence entre Universal SSL et le SSL d'une offre payante ?

Oui, il y a quelques différences subtiles qui ne sont généralement pas perceptibles par vos clients. La principale différence de Universal SSL  réside dans le fait qu'il utilise SNI, une technologie relativement plus récente que celle de notre SSL payant. Cela pose parfois problème avec les anciens systèmes d'exploitation ou navigateurs. Retrouvez toutes les explications dans cette FAQ.

SSL fonctionne-t-il pour les partenaires d'hébergement ?

Depuis le 9 décembre 2016, tous les nouveaux domaines ajoutés à Cloudflare via les partenaires bénéficient du SSL gratuit.  Pour activer le protocole SSL gratuit pour les clients existants dont les domaines ont été ajoutés avant le 9 décembre 2016, il est nécessaire de  supprimer et d'ajouter de nouveau leur domaine.

SSL est disponible pour les partenaires à la fois via les intégrations CNAME et de DNS complet. Notez que pour que le processus d'émission réussisse, le sous-domaine « www » doit passer par le proxy de Cloudflare (indiqué par un nuage orange). 

Les SSL de Cloudflare sont-ils exportables ?

Non, à l’exception des certificats Origin CA qui sont exportables pour que vous puissiez les installer sur le serveur d’origine. Soyez toutefois conscients que les certificats Origin CA ne sont pas approuvés en dehors du réseau Cloudflare.

Que signifient les modes Flexible SSL et Full SSL?

  • SSL Flexible
    • SSL prend fin aux serveurs de Cloudflare. Tout est chiffré entre votre client et Cloudflare, mais pas entre Cloudflare et votre origine. Vous n'avez pas besoin d'installer un certificat directement sur votre serveur pour que le chiffrement soit complet.
  • Full SSL :
    • SSL prend fin au serveur de périphérie de Cloudflare. Il est ensuite chiffré à nouveau et renvoyé à vos serveurs. Pour pouvoir bénéficier de cette option, vous devez avoir installé un certificat SSL sur votre serveur. Vous pouvez également utiliser les certificats auto-signés.
  • Full SSL (strict) :
    • Même fonctionnement que Full SSL, mais vous devez avoir un certificat signé par une autorité de certification signée (CA), tel que GlobalSign.
  • SSL personnalisé (uniquement Business/Entreprise)
    • Les clients de ces offres peuvent charger leurs propres clé et certificat SSL pour que le nom de Cloudflare ne s'affiche pas si un visiteur vérifie le certificat.

J'ai un certificat installé sur mon serveur, pourquoi le certificat de Cloudflare s'affiche-t-il ?

Lorsque vous utilisez Cloudflare, nous devons décrypter les données en périphérie afin de les mettre en cache et de filtrer le trafic malveillant. En fonction des paramètres SSL expliqués ci-dessus, nous pouvons les re-chiffrer ou les envoyer sous forme de texte (Full vs Flexible). Étant donné que chaque certificat a besoin d'une adresse IP dédiée, nous ajoutons votre nom de domaine et votre domaine générique (*.domain.com) dans le SAN (autre nom de l'objet) du certificat.

Je vois un message d'erreur lorsque je visite mon site via https, que se passe-t-il ?
Votre nom de domaine doit être examiné avant que notre fournisseur SSL ne puisse émettre le certificat correspondant. En fonction de votre niveau d'offre, ce processus peut prendre 15 minutes à 24 heures (payant vs gratuit). Vous pouvez vérifier le statut de votre certificat sur Cloudflare, dans les paramètres du domaine. Vous verrez le statut En cours, En attente ou Vérifié.

Je suis inscrit à Cloudflare depuis 24 heures, pourquoi mon certificat n'est-il pas encore vérifié ?

Le fournisseur peut exiger des vérifications supplémentaires par rapport à votre nom de domaine avant qu'un certificat ne soit émis. Dans ce cas, envoyez-nous une  demande de support et nous contacterons notre fournisseur SSL pour plus de détails.

Comment faire pour que Cloudflare montre mon certificat lorsqu'un client visite mon site ?
Cette fonctionnalité est uniquement disponible pour les clients Business et Entreprise. Plus d'informations dans ce guide.

 

Pourquoi mes images/css/fichier js n'apparaissent pas lorsque je charge ma page HTTPS ?
Il s'agit généralement d'un problème de clôture du SSL à la périphérie (en mode Flexible SSL). Le problème vient du fait que vous envoyez une requête pour des ressources http sur une page https. La plupart des navigateurs bloqueront ces requêtes pour des raisons de sécurité. Vous pouvez régler ce problème en chargeant les ressources relatives au protocole (HTTP/HTTPS). Le chemin du fichier ressemblera alors à ça :
//domain.com/path/to.file
Pour plus d'informations, lisez ce guide
En fonction de votre CMS, certains modules/plug-ins peuvent s'en charger automatiquement pour vous. Cloudflare offre une solution via les remplacements HTTPS automatiques.
Si vous n'êtes pas sûr qu'il s'agisse bien du problème que vous rencontrez, ouvrez DevTools dans votre navigateur et consultez l'onglet Console. L'erreur devrait ressembler à ça :

Contenu mixte : La page «https://domain.com/» a été chargée via HTTPS, mais a envoyé une requête pour une ressource non sécurisée «http://domain.com/path/to.file». Cette demande a été bloquée ; le contenu doit être servi via HTTPS.

  1. Vous pouvez résoudre ce problème en ajoutant le protocole relatif
  2. Ou en installant un certificat sur votre serveur et en utilisant l'option Full SSL.

 

Le SSL de mon offre Gratuite ne fonctionne pas sur les anciens systèmes d'exploitation/navigateurs
Universal SSL utilise SNI, un protocole relativement nouveau que les anciens systèmes d'exploitation ou navigateurs ne prennent pas en charge. Vous pourriez obtenir des erreurs de SSL non approuvé sur d'anciennes versions de Windows, voir sur cURL (*nix).

Si vous ne voulez pas que les visiteurs utilisant des navigateurs ou des systèmes d'exploitation plus anciens aient des problèmes pour accéder à votre site via https://, vous devriez envisager de passer à une offre payante de Cloudflare pour une plus grande prise en charge par les systèmes d'exploitation et les navigateurs.

 

Comment forcer mon site à utiliser uniquement HTTPS/SSL ?
Vous pouvez utiliser les Page Rules pour forcer HTTPS sur tout le contenu en utilisant la fonctionnalité « Toujours utiliser HTTPS ». Tutoriel sur les Page Rules.

 

Je reçois des erreurs 52x.
1. 525
Une erreur 525 indique que la négociation SSL entre Cloudflare et le serveur d'origine qui héberge le domaine a échoué. Cela signifie que Cloudflare est configuré pour utiliser Full SSL dans les paramètres Cloudflare pour le domaine, et qu'il tente donc d'établir une connexion avec le serveur qui héberge le domaine en utilisant le protocole SSL (pour les requêtes commençant par https://).
Plus d'info ici.
2. 526
Le code d'erreur HTTP 526 se produit lorsque Cloudflare est incapable de valider le certificat SSL du serveur Web d'origine, et que la configuration SSL de Cloudflare sur le site est réglée sur « Full SSL (strict) ». 
Plus d'infos ici.

 

Quelles sont les suites de chiffrement utilisées par Cloudflare ?

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 ;
ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521 ;
ssl_ciphers '[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES' ;
ssl_prefer_server_ciphers de suite; 

Informations complémentaires ici.

 

Comment puis-je installer le certificat sur mon serveur ?
Le certificat émis par Cloudflare ne vous oblige pas à installer quoi que ce soit sur votre serveur. Il est uniquement installé sur Cloudflare. Vous pouvez toujours créer un certificat auto-signé et Full SSL (NON STRICT) pour bénéficier d'un chiffrement complet sur votre site. Pour en savoir plus sur le mode Full SSL et sur sa signification, consultez les autres points de cette FAQ.

Still not finding what you need?

The Cloudflare team is here to help. 95% of questions can be answered using the search tool, but if you can’t find what you need, submit a support request.

Réalisé par Zendesk