Los modos SSL de Cloudflare
Cloudflare ofrece cuatro modos de cifrado SSL/TLS que determinan como se maneja el cifrado en las dos conexiones que intervienen cuando Cloudflare esta activo como proxy: la conexion entre el visitante y Cloudflare, y la conexion entre Cloudflare y el servidor de origen. Elegir el modo correcto es fundamental tanto para la seguridad como para evitar errores como bucles de redireccion o errores SSL.
Los cuatro modos SSL de Cloudflare
| Modo | Visitante a Cloudflare | Cloudflare a servidor origen | Requiere SSL en servidor |
|---|---|---|---|
| Off | HTTP (sin cifrado) | HTTP (sin cifrado) | No |
| Flexible | HTTPS (cifrado) | HTTP (sin cifrado) | No |
| Full | HTTPS (cifrado) | HTTPS (cifrado) | Si (puede ser autofirmado) |
| Full (Strict) | HTTPS (cifrado) | HTTPS (cifrado) | Si (debe ser valido y no vencido) |
Modo Flexible: cuando usarlo y sus riesgos
El modo Flexible permite que el visitante se conecte al sitio via HTTPS con el certificado de Cloudflare, pero Cloudflare se conecta al servidor de origen usando HTTP sin cifrado. Esto significa que la conexion entre Cloudflare y el servidor no esta cifrada, por lo que los datos viajan en texto plano en esa porcion del recorrido.
El modo Flexible solo debe usarse como solucion temporal cuando el servidor de origen no tiene un certificado SSL instalado y no es posible instalarlo inmediatamente. Nunca usar Flexible en sitios con formularios, credenciales o datos sensibles ya que la conexion entre Cloudflare y el servidor no esta protegida.
Problema comun con Flexible: Si el servidor tiene configurada una redireccion de HTTP a HTTPS (en .htaccess), usar el modo Flexible genera un bucle infinito de redirecciones (ERR_TOO_MANY_REDIRECTS) porque Cloudflare conecta via HTTP, el servidor redirige a HTTPS, Cloudflare vuelve a conectar via HTTP, y asi indefinidamente.
Modo Full: equilibrio entre seguridad y compatibilidad
El modo Full cifra la conexion entre Cloudflare y el servidor de origen, pero no valida que el certificado SSL del servidor sea emitido por una autoridad de certificacion confiable. Acepta certificados autofirmados. Es adecuado cuando el servidor tiene un certificado SSL instalado pero no se puede garantizar que sea siempre de una CA confiable (por ejemplo, durante el periodo de renovacion de AutoSSL).
Modo Full (Strict): el mas seguro y recomendado
Full Strict proporciona el mayor nivel de seguridad. Cloudflare valida que el certificado SSL del servidor sea emitido por una CA confiable, este vigente y coincida con el nombre del dominio. Es el modo recomendado para cualquier sitio en produccion que tenga un certificado SSL valido instalado (como los de Let's Encrypt o AutoSSL).
Como cambiar el modo SSL en Cloudflare
- Acceder al panel de Cloudflare del dominio.
- Ir a SSL/TLS > Vision General.
- Seleccionar el modo deseado.
- Cambiar de Flexible a Full o Full Strict en un sitio que tiene configuradas redirecciones de HTTP a HTTPS en el servidor puede causar interrupciones momentaneas que se resuelven solos en segundos.
- Si el sitio muestra ERR_TOO_MANY_REDIRECTS, verificar primero el modo SSL. Flexible + redireccion en .htaccess es la causa mas comun de este error.
