Habilitación y deshabilitación de Cloudflare Universal SSL: una guía práctica y segura para administradores de servidores y desarrolladores

¿Por qué es importante configurar SSL universal en Cloudflare?

Para webmasters, DevOps y quienes usan servidores VPS o en la nube, es fundamental configurar correctamente el SSL entre el usuario final, Cloudflare Edge y el servidor de origen. Elegir un modo SSL incorrecto o gestionar incorrectamente los certificados puede provocar errores HTTPS, bucles de redirección o incluso reducir la seguridad de la conexión.

¿Qué es Universal SSL y cómo funciona?

Universal SSL es un servicio de Cloudflare que emite e instala un certificado TLS/SSL gratuito y automático en el borde de Cloudflare para dominios que utilizan la CDN/Proxy de Cloudflare. Este certificado cifra las comunicaciones del usuario final hasta el borde de Cloudflare, pero el cifrado entre Cloudflare y el servidor de origen requiere una configuración independiente.

Modos SSL

Los modos principales que se pueden seleccionar en el panel de Cloudflare son:

• Apagado: No se realiza ningún cifrado HTTPS entre el usuario y Cloudflare.
• Flexible: La conexión usuario → Cloudflare está cifrada, pero Cloudflare → Origin se establece a través de HTTP (sin TLS). Generalmente no es necesario y puede causar problemas de seguridad y bucles de redirección..
• Lleno: La conexión con el origen se establece con TLS, pero Cloudflare no valida el certificado de origen.
• Completo (estricto): La conexión con el Origen se establece con TLS y Cloudflare verifica la autenticidad del certificado de Origen (el certificado debe estar validado por una CA de confianza o una CA de Origen).

¿Por qué deberías deshabilitar Universal SSL?

Las razones comunes para deshabilitar Universal SSL incluyen:

• Requiere cargar un certificado de borde dedicado a Cloudflare (generalmente en los planes Business/Enterprise).
• Solucione problemas y pruebe HTTPS directamente en Origin sin pasar por el borde de Cloudflare.
• Utilizando otro CDN o balanceador de carga que debe proporcionar su propio certificado.
• Conflicto entre las configuraciones de SSL/almacenamiento en caché o necesidad de instalar un certificado comodín/EV en el borde.

Pasos para la activación de SSL universal (panel de control)

Pasos de activación a través del panel de Cloudflare:

1. Inicie sesión en el panel de Cloudflare y seleccione el dominio (Zona).
2. A la sección SSL/TLS Ir.
3. Establezca el modo SSL en activado. Completo (Estricto) O Lleno Lugar (sugerencia: Completo (Estricto)).
4. En la sección Certificados Edge, opción SSL universal Normalmente está habilitado por defecto. Si está deshabilitado, haz clic en el botón Habilitar.
5. Esperar: la emisión y publicación del certificado en la CDN puede demorar hasta 24 horas, pero normalmente se completa en unos pocos minutos o algunas horas.

Desactivación de SSL universal (panel de control)

Pasos a seguir para desactivar:

1. Ingresar SSL/TLS > Certificados de borde Eneldo.
2. En la sección SSL universal, botón deshabilitar (DesactivarSeleccionar ).
3. Si desea mantener HTTPS sin interrupciones, debe obtener e instalar un certificado de borde de reemplazo (certificado cargado personalizado) antes de deshabilitar Universal SSL (disponible en los planes Business/Enterprise o superiores).
4. Tenga en cuenta que hasta que se instale el nuevo certificado, los usuarios HTTPS encontrarán un error.

Deshabilitar/Habilitar mediante API (Ejemplo)

Para automatizar, puedes usar la API de Cloudflare. Primero, obtén el ID de zona y luego cambia el estado de SSL universal.

Obtener ID de zona (ejemplo):

curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json"

Cambiar el estado de SSL universal (ejemplo):

curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/universal_ssl" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json" \
 --data '{"value":"off"}'

Para habilitar el valor, configúrelo en ""en"" Cambiar. (Si usa API Token, configure los encabezados de acuerdo con la documentación del token).

Utilice Cloudflare Origin CA (recomendado para Full (Strict))

Para Completo (Estricto) La mejor manera de utilizarlo Origen de Cloudflare CA que emite un certificado que solo es válido entre Cloudflare y Origin; este certificado no es adecuado para conexiones directas de usuario a Origin, pero es seguro y simple para la comunicación entre Cloudflare y Origin.

Pasos rápidos:

• En el panel de Cloudflare, SSL/TLS → Servidor de origen Ir.
• Crear certificado Haga clic en , seleccione el tipo RSA o ECDSA y especifique el dominio/comodín.
• Cloudflare genera el archivo PEM: certificado y clave privada Descargar.
• Coloque estos archivos en Origin (por ejemplo, /etc/ssl/cf_origin.pem y /etc/ssl/cf_origin.key).

Ejemplo de configuración de Nginx con Origin CA:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/cf_origin.pem;
    ssl_certificate_key /etc/ssl/cf_origin.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:...';
    ssl_prefer_server_ciphers on;

    root /var/www/html;
    index index.php index.html;
    ...
}

Luego, en Cloudflare, configure el modo SSL en Completo (Estricto) Ponlo.

Instalación de un certificado Let's Encrypt en presencia de Cloudflare

Problema común: El desafío HTTP-01 puede fallar si Cloudflare está en modo proxy (icono de nube naranja). Soluciones:

• De Desafío DNS-01 Utilice (por ejemplo) certbot --preferred-challenges dns) — Obligatorio para comodines.
• O apague temporalmente el proxy (borre la nube) y vuelva a encenderlo después de emitir el certificado.
• O desde Origen de Cloudflare CA Aprovecha (solución más sencilla para Completo (Estricto)).

Ejemplo de emisión con certbot DNS (con complemento Cloudflare):

certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com -d '*.example.com'

Solución de errores comunes

Errores comunes y soluciones:

• Error 525 (error en el protocolo de enlace SSL): Error en el protocolo de enlace entre Cloudflare y Origin: verifique que Nginx/Apache esté habilitado con TLS y que la CA de Origin o un certificado válido esté instalado.
• Error 526 (Certificado SSL no válido): Certificado de origen no reconocido como válido por Cloudflare: use una CA de origen o un certificado público válido y configure el modo en Completo (Estricto).
• Bucle de redirección: Generalmente, cuando el modo SSL está en Flexible y se tiene una redirección http → https en Origen, la solución es usar Completo/Completo (Estricto).
• Tiempo de activación de SSL universal: Puede tardar hasta 24 horas; tenga paciencia y limpie la caché de DNS.

Para una comprobación rápida:

openssl s_client -connect example.com:443 -servername example.com

Comprobando la conexión de Cloudflare a Origin (en el servidor):

curl -vk --resolve example.com:443:198.51.100.10 https://example.com/

Consejos de seguridad y funcionamiento

Mejores prácticas y medidas de seguridad:

• Siempre desde Completo (Estricto) Utilice Cloudflare para verificar la autenticidad del certificado de origen.
• Si usa Cloudflare, restrinja las IP permitidas para Origin a una lista blanca; permita solo las IP de Cloudflare. Enumere las IP de Lista de IP de Cloudflare Consíguelo y mantenlo actualizado.
• Habilitar TLS 1.3 y HTTP/2 mejorará el rendimiento. Habilite HSTS con cuidado y después de estar seguro de la configuración (precargue solo después de realizar pruebas exhaustivas).
• Para sitios sensibles (comerciantes, juegos de bajo ping, representación de bases de datos e IA): coloque el origen cerca de los usuarios de destino o de las redes BGP y centros de datos ubicados adecuadamente para lograr el RTT más bajo.
• Utilice túneles seguros o reglas de firewall para el tráfico que no sea web (por ejemplo, SSH o TCP privado); Cloudflare está optimizado para el tráfico web.

Consejos de SEO y rendimiento

Impacto de Universal SSL y CDN en el SEO y el rendimiento:

• Habilitar Universal SSL en Edge garantiza que los usuarios siempre tengan HTTPS, lo que es beneficioso para el SEO.
• El uso de certificados CDN y de borde reduce el tiempo de enlace TLS para usuarios globales.
• Asegúrese de que la redirección 301 de HTTP a HTTPS esté configurada correctamente y que no tenga contenido mixto (use herramientas como Lighthouse o Screaming Frog para comprobarlo).

Lista de verificación de muestra antes de desactivar Universal SSL

• ¿Tiene un certificado de borde de reemplazo? (Si no, el protocolo HTTPS no funcionará)
• ¿Tiene Origin un certificado válido en modo completo (estricto)?
• ¿Las IP de Cloudflare están incluidas en la lista blanca del firewall de origen?
• ¿Los usuarios y los servicios de terceros están respondiendo a los cambios? (por ejemplo, los consumidores de API)
• ¿Se ha elegido el momento adecuado (ventana de poco tráfico)?

Conclusión y recomendaciones

Universal SSL es una función de cifrado perimetral potente y sencilla, compatible con la mayoría de sitios web y aplicaciones. Se recomienda usar siempre Completo (Estricto) Junto con Origen de Cloudflare CA O use un certificado válido. Deshabilitar Universal SSL debe hacerse con precaución y solo en casos especiales.

Soporte técnico y servicios relacionados

Si utiliza los servidores proporcionados (con ubicaciones globales, servidores en la nube y dedicados, servidores de gráficos GPU, VPS para comercio y juegos, servicios anti-DDoS, CDN y soporte BGP), el equipo técnico puede ayudarlo a instalar Origin CA, configurar reglas de firewall para incluir en la lista blanca las IP de Cloudflare o asesorarlo sobre la mejor configuración SSL/TLS para obtener la latencia más baja y la mayor seguridad.

Preguntas frecuentes