Comprendre Universal SSL

Découvrez les avantages et les limites des certificats Universal SSL gratuits de Cloudflare et déterminez si Universal SSL est adapté à votre domaine.


Présentation

Universal SSL fait référence au certificat SSL gratuit que Cloudflare envoie aux clients dans les 24 heures suivant l’activation de leur domaine. Il nécessite que le trafic soit mis en proxy via Cloudflare afin de mettre en service le certificat.

Dans l’application SSL/TS de Cloudflare, lorsque le certificat pour le domaine est en cours de traitement par l’autorité de certification, le statut du certificat Universal SSL affiche Autorisation SSL en cours.

Universal SSL n’est utilisé que pour chiffrer le trafic entre un visiteur du site et Cloudflare, et non pour chiffrer le trafic entre Cloudflare et le serveur Web d’origine.

Pour plus d’informations sur le chiffrement entre Cloudflare et votre serveur Web d’origine, consultez nos guides sur les modes SSL et les certificats Origin de Cloudflare.

Le temps de provisionnement du certificat Universal SSL dépend strictement de certaines vérifications de sécurité et autres exigences imposées par les autorités de certification.

Pour les sites nécessitant un certificat SSL avant la migration du trafic vers Cloudflare, achetez un certificat Dedicated SSL ou chargez un certificat SSL personnalisé avant de mettre le trafic en proxy via Cloudflare.

Les certificats SSL du serveur Web d’origine ne sont pas requis pour que Cloudflare puisse émettre un certificat Universal SSL. Cependant, Cloudflare recommande d’installer un certificat Origin Cloudflare pour s’assurer que la communication soit chiffrée entre Cloudflare et votre serveur Web d’origine.

Pour garantir le chiffrement SSL entre Cloudflare et votre serveur Web d’origine, définissez le mode SSL dans l’application SSL/TLS de Cloudflare sur Full ou Full (Strict)

Si le serveur Web d’origine ne dispose pas d’un certificat SSL installé, définir l’application SSL/TLS sur Full ou Full (Strict) va provoquer des erreurs 521 ou des erreurs de type 5XX pour les visiteurs du site.

Pour en savoir plus sur les techniques SSL, consultez notre article de blog : Introduction à Universal SSL.


Limites

Les certificats Universal SSL sont limités par :

  • les noms d’hôte qu’ils couvrent ; et
  • les navigateurs clients qu’ils prennent en charge.

Couverture du nom d’hôte

Les certificats Universal SSL ne prennent en charge SSL que pour les sous-domaines racine ou de premier niveau tels que exemple.com et www.exemple.com. Pour activer la prise en charge SSL sur les sous-domaines de deuxième, troisième et quatrième niveaux, tels que dev.www.exemple.com ou app3.dev.www.exemple.com, vous pouvez :

Prise en charge du navigateur

Universal SSL utilise des certificats SNI (Server Name Indication) avec ECDSA (Elliptic Curve Digital Signature Algorithm). Les certificats SNI et ECDSA fonctionnent avec les navigateurs modernes suivants :

Navigateurs de bureau installés sur Windows Vista ou OS X 10.6 ou ultérieur :

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (avec TLS 1.1 activé)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Navigateurs mobiles :

  • Mobile Safari pour iOS 4.0
  • Android 3.0 (Honeycomb) et versions ultérieures
  • Windows Phone 7

Devrais-je désactiver Universal SSL ?

Certains clients Cloudflare doivent gérer leurs propres certificats SSL afin de se conformer aux procédures d’exploitation standard ou aux politiques de leur organisation. D’autres clients ne font confiance qu’à des autorités de certification spécifiques et excluent les autorités de certification utilisées par Cloudflare pour la fourniture de certificats SSL. Ces clients peuvent désactiver Universal SSL via l’application SSL/TLS du tableau de bord Cloudflare après le premier chargement de leurs propres certificats SSL personnalisés.

Que se passe-t-il si je désactive Universal SSL ?

Désactiver Universal SSL supprime les certificats Universal SSL d’un domaine du réseau Cloudflare. Cloudflare ne commandera et ne renouvellera pas les certificats Universal SSL jusqu’à ce que l’option Universal SSL soit réactivé.

Des erreurs se produisent lors de la visite d’un domaine qui utilise les fonctionnalités Cloudflare suivantes lorsque Universal SSL est désactivé :

  • HSTS
  • Toujours utiliser HTTPS
  • Chiffrement opportuniste
  • Page Rules redirigeant le trafic vers HTTPS

De même, toute redirection HTTP vers HTTPS sur le serveur Web d’origine provoque des erreurs pour les visiteurs du site.

Pour éviter les erreurs de trafic sur votre site, chargez un certificat personnalisé ou achetez un certificat Dedicated SSL avant de désactiver Universal SSL.

Comment désactiver Universal SSL ?

Pour désactiver Universal SSL :

1. Connectez-vous au tableau de bord Cloudflare.

2. Cliquez sur le compte Cloudflare approprié pour le domaine sur lequel vous souhaitez désactiver Universal SSL.

3. Assurez-vous que le bon domaine soit sélectionné.

4. Cliquez sur l'applicationSSL/TLS.

5. Faites défiler jusqu’à la section Désactiver Universal SSL.

6. Cliquez sur Désactiver Universal SSL. Une fenêtre d’acceptation des conditions s’affiche.

7. Lisez les avertissements dans la fenêtre d’acceptation.

8. Cochez la case J’ai compris et cliquez sur Confirmer.


Ressources associées

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk