Docs — comment fonctionne le edge
Pas de remplissage — seulement ce qu'il faut pour raccorder un domaine et comprendre ce qui arrive à une requête une fois qu'elle atteint notre edge.
Pour commencer
Le raccordement est un changement de DNS, pas une migration. Votre serveur d’origine reste exactement là où il est aujourd’hui.
- Ajoutez votre domaine dans le portail.
- Pointez son enregistrement DNS (un enregistrement
A/AAAA, ou unCNAME) vers l’adresse edge que le portail vous indique. - Une fois le DNS propagé, le trafic réel suit le chemin
DNS → edge (WAF) → votre origine. Nous filtrons chaque requête et transmettons les requêtes propres.
Nous raccordons les premiers clients manuellement : si quelque chose dans votre configuration sort de l’ordinaire, une personne le parcourt avec vous avant que vous ne basculiez le DNS.
Ce que couvre l’OWASP CRS 4.26
Le edge exécute l’OWASP Core Rule Set v4.26.0 sur le moteur Coraza. Deux builds Coraza sont livrés dans une seule image edge — un moteur proxy-wasm et un moteur libcoraza FFI — et le moteur est choisi par route, si bien qu’ajuster un site n’en dérange jamais un autre.
CRS est un jeu de règles à score d’anomalie. Au lieu qu’une seule règle décide de laisser passer ou de bloquer, il additionne des signaux sur toute la requête (chemins suspects, motifs d’injection, anomalies de protocole) et agit sur le total. C’est ce qui rend détectables les classes d’attaques courantes — injection SQL, cross-site scripting, traversée de répertoire, inclusion de fichier distant — tout en gardant le seuil de faux positifs ajustable plutôt que subi.
L’échelle de vérification
Toute requête suspecte ne mérite pas un blocage immédiat, et tout visiteur ne devrait pas subir de friction. Quand les signaux le justifient, le edge monte une échelle plutôt que de bloquer d’emblée :
- Proof-of-Work — un défi de calcul léger, invisible pour les navigateurs normaux, qui coûte du vrai CPU aux clients automatisés.
- CAPTCHA — une vérification interactive enfichable (Turnstile ou hCaptcha) pour les cas que l’échelon proof-of-work ne règle pas.
- Web Bot Auth — vérification cryptographique des bots via les signatures de messages HTTP selon la RFC 9421 avec des clés Ed25519, pour qu’un bot légitime et déclaré puisse prouver qui il est au lieu d’être défié.
Chaque échelon est optionnel et ne s’applique que là où vous l’activez — le chemin par défaut reste sans friction.
Certificats
Le TLS, c’est nous. Chaque tenant reçoit son propre certificat Let’s Encrypt au edge via
le module nginx-acme, et le renouvellement est automatique. Vous ne téléversez jamais de
clé privée ni ne lancez de commande certbot — l’émission et la rotation vivent au edge,
ce qui est aussi pourquoi les clés privées LE ne le quittent jamais.
Questions fréquentes
Dois-je déplacer mon hébergement pour utiliser Smart WAF ?
Non. Votre serveur d'origine reste où il est. Vous changez seulement le DNS pour que le trafic passe d'abord par notre edge ; nous le filtrons et transmettons les requêtes propres à votre serveur existant.
Quel jeu de règles WAF utilisez-vous ?
L'OWASP Core Rule Set v4.26.0, exécuté sur le moteur Coraza. CRS fonctionne par score d'anomalie : il additionne des signaux sur l'ensemble d'une requête plutôt que de se déclencher sur une seule règle, ce qui garde le seuil de faux positifs ajustable.
Quelle latence ajoute le WAF ?
Nous concevons pour un budget de ≤5 ms de latence ajoutée sur du trafic normal. C'est un objectif de conception ; les tests sur matériel de production sont en cours, et tout chiffre mesuré que nous publions est étiqueté avec son environnement.
Qui gère le certificat TLS ?
Nous. Chaque tenant reçoit son propre certificat Let's Encrypt, émis et renouvelé automatiquement au edge — vous ne téléversez ni ne faites tourner de clés vous-même.