FAQ sur le SSL
Je possède plusieurs certificats Cloudflare, lequel est utilisé ?
Les certificats Cloudflare sont hiérarchisés par type de certificat et également par nom d’hôte le plus spécifique. En général, la hiérarchisation des certificats SSL est la suivante, de la priorité la plus élevée à la plus basse :
Les exceptions à la priorisation générale se produisent en fonction de la spécificité du nom d’hôte. Les certificats qui mentionnent un nom d’hôte spécifique sont préférés aux certificats joker. Par exemple, un certificat Universal SSL qui mentionne explicitement www.exemple.com a la priorité sur un certificat qui correspond au nom d’hôte www via un caractère joker tel que *.exemple.com.
Le SSL de Cloudflare aidera-t-il au référencement SEO ?
Oui, Google a annoncé qu’il utilisait HTTPS comme signal pour l’optimisation du référencement.
Pour découvrir des ajustements en matière de référencement, consultez notre article sur l’amélioration du référencement SEO avec Cloudflare.
Le SSL de Cloudflare prend-il en charge les IDN (Internationalized Domain Names) ?
Cloudflare prend en charge les domaines double octet / IDN / punycode. Les domaines contenant des caractères non latins reçoivent des certificats SSL comme tout autre domaine ajouté à Cloudflare.
Combien de temps faut-il pour que le SSL de Cloudflare soit activé ?
Si Cloudflare est votre fournisseur de service DNS faisant autorité, les certificats Universal SSL sont généralement émis dans les 15 minutes suivant l’activation du domaine chez Cloudflare et ne nécessitent aucune action supplémentaire de la part du client après cette activation. Si vous utilisez les services Cloudflare via les enregistrements CNAME définis chez votre fournisseur de service DNS faisant autorité, la fourniture de votre certificat Universal SSL nécessite l’ajout manuel d’enregistrements de vérification DNS chez votre fournisseur de service DNS faisant autorité. Les certificats Dedicated SSL sont également émis dans les 15 minutes en général.
Si l’autorité de certification exige un examen manuel des exigences de marque, de phishing ou de TLD, la délivrance d’un certificat Universal SSL pourra alors prendre plus de 24 heures.
Que signifie une vérification de marque SSL non valide ?
Certains domaines ne sont pas admissibles au certificat Universal SSL s’ils contiennent des mots en conflit avec des domaines de marque déposée.
Pour résoudre ce problème, vous pouvez soit :
- charger votre propre certificat si le domaine est fait partie d’une offre Business ou Enterprise Plan ; ou
- acheter un certificat Dedicated SSL.
Comment rediriger tous les visiteurs via HTTPS/SSL ?
Pour rediriger le trafic de tous les sous-domaines et hôtes de votre domaine, activez l’option Toujours utiliser HTTPS dans l’application SSL/TLS de Cloudflare. Par ailleurs, si vous ne souhaitez pas que l’ensemble de votre site soit redirigé via HTTPS, effectuez une redirection d’URL à l’aide de l’application Page Rules de Cloudflare.
Si votre site est protégé via Cloudflare, il n’est pas recommandé d’effectuer des redirections sur votre serveur Web d’origine :
- Les redirections Page Rule sont traitées sur l’extrémité de Cloudflare, ce qui entraîne une réponse plus rapide et un nombre réduit de demandes adressées à votre serveur.
- Les redirections du serveur Web d’origine peuvent provoquer des erreurs de boucle de redirection.
Lors de la configuration Page Rules, l’action Toujours utiliser HTTPS est l’option la plus simple pour rediriger des requêtes HTTP vers HTTPS. Vous pouvez également utiliser l’action Transfert d’URL avec une redirection 301 si, en plus de forcer HTTPS, vous voulez effectuer une redirection vers un autre sous-domaine. Par exemple, une correspondance Page Rule pour
http://exemple.com/*avec une URL de transfert de
https://www.exemple.com/$1va envoyer les requêtes destinées au domaine racine exemple.com vers le sous-domaine www.exemple.com tout en préservant le répertoire de l’URL.
Forcer HTTPS ne résout pas les problèmes de contenu mixte dans la mesure où les navigateurs vérifient le protocole des ressources incluses, avant d’effectuer une requête. Vous ne devrez utiliser que des liens relatifs ou des liens HTTPS sur les pages que vous forcez HTTPS. Cloudflare peut automatiquement résoudre certains liens de contenu mixte à l’aide de notre fonctionnalité Remplacements HTTPS automatiques.
Le SSL fonctionne-t-il pour les partenaires d’hébergement ?
Un certificat Universal SSL gratuit est disponible pour tous les nouveaux domaines Cloudflare ajoutés via un partenaire d’hébergement via les intégrations DNS CNAME et Full.
Mettez en proxy un sous-domaine via Cloudflare pour fournir le certificat Universal SSL gratuit.
Les certificats SSL de Cloudflare sont-ils partagés ?
Les certificats Universal SSL sont partagés sur plusieurs domaines et pour plusieurs clients. Si le partage de certificat vous préoccupe, Cloudflare recommande un certificat Dedicated SSL ou personnalisé.
Un certificat SSL est installé sur mon site Web. Pourquoi puis-je voir un certificat Cloudflare ?
Cloudflare doit déchiffrer le trafic pour pouvoir mettre en cache et filtrer le trafic malveillant. Cloudflare chiffre le trafic à nouveau ou envoie du trafic en texte brut au serveur Web d’origine en fonction de l’option SSL sélectionnée dans l’application SSL/TLS.
Je veux que Cloudflare utilise un certificat SSL que j’ai acheté ailleurs
Les domaines des offres Business et Enterprise Plans sont autorisés à charger un certificat SSL personnalisé.
Comment forcer mon site à utiliser uniquement HTTPS/SSL ?
Pour forcer l’ensemble du trafic via HTTPS, activez la fonctionnalité « Toujours utiliser HTTPS » dans l’application SSL/TLS ou via l’application Page Rules de Cloudflare.
Le projet Galileo inclut-il la prise en charge SSL ?
Les clients du projet Galileo peuvent utiliser le certificat Universal SSL gratuit de Cloudflare pour sécuriser le trafic du site.
L’activation de Cloudflare affecte-t-elle les exigences TLS 1.2 de PayPal ?
Non, Cloudflare ne mettant pas en proxy les connexions effectuées directement sur paypal.com, l’activation de Cloudflare pour votre domaine n’affecte pas la manière dont les connexions TLS sont établies.
Pour déterminer si votre serveur ou navigateur prend en charge ces normes, consultez le site https://tlstest.paypal.com à partir d’un client ou d’un navigateur utilisant PayPal. Une réponse PayPal_Connection_OK indique que le client prend en charge les normes TLS compatibles avec PayPal.
Comment puis-je servir un certificat SSL depuis les datacenters de Cloudflare en Chine ?
Les certificats Universal SSL et Dedicated SSL de Cloudflare ne sont pas déployés en Chine. Si votre domaine fait partie de l’offre Enterprise Plan et a été autorisé à accéder aux datacenters en Chine, les datacenters Cloudflare en Chine servent uniquement un certificat SSL pour votre domaine dans les conditions suivantes :
- Vous avez chargé un certificat SSL personnalisé.
- Autoriser les clés privées en Chine (Certificats personnalisés) est Actif dans l’application SSL/TLS de Cloudflare.
Cloudflare prend-il en charge l’authentification TLS du client ?
L’authentification TLS du client confirme que le certificat présenté par un client est signé par le certificat de l’autorité de certification racine de la société. En validant ce certificat sur chaque requête, l’accès peut être limité aux connexions client autorisées. Pour activer l’authentification TLS du client via Cloudflare, reportez-vous à notre documentation sur l’authentification TLS mutuelle..
Comment activer Universal SSL avec GitHub ?
Reportez-vous à l’article de blog Cloudflare sur l’utilisation du certificat Universal SSL de Cloudflare avec GitHub Pages.