CommunityTip - Preguntas frecuentes sobre seguridad

Website, Application, Performance Spectrum
,
1

Léelo antes de publicar

Revisa este post y los enlazados y utiliza la función de :búsqueda: en la parte superior derecha para buscar tu problema. Este Consejo de la comunidad tiene preguntas y respuestas para las preguntas más frecuentes sobre SSL/TLS; la función de :search: revelará consejos y conocimientos adicionales.

Información general
Estas preguntas frecuentes sobre seguridad abarcan Cloudflare Spectrum, Cloudflar
e Access, Free Universal SSL, certificados edge, certificados autofirmados, certificados de origen, TLS, HSTS y todo lo relacionado con la aplicación SSL/TLS.

Bucle de redireccionamiento
Si estás utilizando el modo Flexible SSL en la pestaña Vista general de la aplicación SSL/TLS de Cloudflare y estás forzando HTTPS en tu origen, esta es la causa más probable del problema. El modo flexible funciona no cifrando el tráfico hacia y desde su origen y Cloudflare. Dado que tu origen está forzando https y la solicitud es entonces redirigida a Cloudflare, este intenta de nuevo enviar la misma solicitud http, lo cual produce un bucle infinito. Este problema se analiza en esta guía de la base de conocimientos -- ¿Por qué SSL Flexible provoca un bucle de redireccionamiento?

Para solucionarlo tienes algunas opciones:

Obten más información sobre SSL en este Tutorial de la Comunidad,
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

Subdominios demasiado profundos/Certificados personalizados y Certificados de validación ampliada
Una vez que Cloudflare haya aprovisionado correctamente nuestra oferta “Universal SSL” en tu zona, ten en cuenta que estos certificados solo cubrirán un único nivel de subdominios (*.ejemplo.com, y no *.*.ejemplo.com):

  • Funcionará - www.ejemplo.com
  • Funcionará - ejemplo.com
  • Funcionará - test.ejemplo.com
  • NO funcionará - www.test.ejemplo.com
  • NO funcionará - programacion.www.ejemplo.com

Si necesitas un certificado que abarque subdominios de varios niveles, puedes adquirir un Certificado SSL dedicado con nombres de host personalizados, en el que puedes declarar cualquier subdominio de varios niveles durante la compra.

Si prefieres utilizar tu propio certificado en lugar de un certificado Universal SSL que nosotros te proporcionamos, tendrás que pasarte a nuestro plan Business y cargar un Certificado personalizado.

Ten en cuenta que Cloudflare no ofrece certificados de “Validación extendida” en este momento; si deseas utilizar uno, tendrás que comprarlo por separado y subirlo a tu cuenta de Cloudflare utilizando la función de carga de SSL personalizado.

Opcionalmente, puedes adquirir el Gestor de certificados avanzado y crear el certificado dedicado con nombre de host personalizado.

Comprender el Gestor de Certificados avanzado
Gestión de los Certificados SSL dedicados

Clientes admitidos (solo SNI)

Nuestros certificados SSL en los planes de pago (Pro, Business y Enterprise) funcionarán con todos los navegadores de escritorio, por lo que si te preocupa la compatibilidad o tienes muchos usuarios con navegadores antiguos, recomendamos actualizarte a uno de nuestros planes de pago.

Tanto los Certificados dedicados como los Universal SSL utilizan certificados de Indicación del nombre del servidor (SNI) que utilizan el Algoritmo de firma digital de curva elíptica (ECDSA). Los certificados SNI y ECDSA trabajan con los siguientes navegadores modernos:

Navegadores de escritorio instalados en Windows Vista u OS X 10.6 o posterior:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (con TLS 1.1 habilitado)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Exploradores móviles

  • Mobile Safari para iOS 4.0
  • Android 3.0 (Honeycomb) y posteriores
  • Windows Phone 7

Ten en cuenta que cualquier servicio de API o pasarela de pago que se comunique con tu sitio debe ser también compatible con SNI y ECDSA para poder conectarse a tu sitio web a través de Cloudflare.

Modos SSL - SSL al origen

Cloudflare ofrece los siguientes modos de SSL:

  1. SSL flexible: El SSL se termina en los servidores perimetrales de Cloudflare. Todo lo que se encuentra entre tu cliente y Cloudflare se cifra, entre Cloudflare y tu origen, no se cifra. No necesitarás un certificado para esto.
  2. SSL completo: El SSL se termina en el servidor perimetral de Cloudflare. Posteriormente, se cifra nuevamente y se envía de nuevo completamente cifrado a los servidores. Necesitarías un certificado SSL instalado en su servidor. Puedes utilizar un certificado autofirmado para esta opción.
  3. SSL Completo (Estricto): Igual que SSL Completo, pero debes tener un certificado firmado por una EC, como GlobalSign Si deseas habilitar Completo Estricto, podrías instalar un certificado de origen gratuitode Cloudflare en su host.

Puedes encontrar un resumen completo de nuestra configuración SSL [aquí] (https://support.cloudflare.com/hc/en-us/articles/200170416).

Si deseas utilizar las opciones de configuración Completa o Completa (estricta), necesitarás tener un certificado en tu servidor web de origen.

Si utilizas la opción Completa (Estricta), este certificado SSL debe ser válido y estar firmado por una Autoridad de certificación o estar utilizando nuestro servicio Origin CA.

Errores de contenido mixto y bucles de redireccionamiento

Si notas que el candado verde no aparece en tu navegador al conectarte a través de HTTPS, es probable que se trate de un problema de contenido mixto. Los errores de contenido mixto implican que tu sitio web se está cargando a través de HTTPS, pero algunos de los recursos se están cargando a través de HTTP. Para solucionar esto tendrás que editar tu código fuente y cambiar todos los recursos para que se carguen sobre una ruta relativa, o directamente sobre HTTPS.

Por ejemplo, si cargas tus imágenes con una URL completa:

<img src="http://example.com/image.jpg" />

Deberas cambiar esto por:

<img src="//example.com/image.jpg" />

Al eliminar el http: , el navegador utilizará el protocolo que ya esté utilizando el visitante. Consulta este artículo para obtener más información. Como alternativa, puedes instalar un complemento Mixed-Content Fixer que debería sustituir automáticamente los http por https en estas secciones. En el caso de Wordpress, hemos tenido éxito con el plugin SSL Insecure Content Fixer.

Una opción alternativa sería habilitar la función de Reescrituras automáticas HTTPS, que potencialmente puede corregir estos errores por usted de forma automática. Ten en cuenta que los recursos cargados por JavaScript o CSS no se volverán a escribir automáticamente y que seguirán apareciendo advertencias de contenido mixto.

Estos problemas se asocian con mayor frecuencia a los usuarios del servicio SSL flexible de Cloudflare. Puedes comprobar si estás utilizando el servicio SSL de Cloudflare en modo Completo o Flexible entrando en tu panel de control de Cloudflare y haciendo clic en la pestaña Información general de la aplicación SSL/TLS, y a continuación dirigiéndote a la configuración de SSL.

Usuarios de SSL flexible

El modo flexible funciona no cifrando el tráfico hacia y desde su origen y Cloudflare. Dado que su origen está forzando https y la solicitud es entonces redirigida a Cloudflare, este intenta de nuevo enviar la misma solicitud http, lo cual produce un bucle infinito. He podido confirmar que tu sitio sí está aplicando una redirección HTTPS.

Para solucionarlo tienes algunas opciones:

  • Activa el modo Completo o Completo Estricto. ¿Qué significan las opciones de SSL?

Además, Cloudflare también añade un encabezado X-Forwarded-Proto, que puede ser http o https en función del protocolo que el usuario haya utilizado para visitar el sitio, como este:

X-Forwarded-Proto: https

Cuando se establece SSL flexible y un visitante solicita a Cloudflare a través de HTTPS - Cloudflare solicita al origen a través de HTTP. En ese caso, el servidor de origen puede saber que el visitante utilizó HTTPS inspeccionando este encabezado.

Certificado no aprovisionado
Revisa los registros DNS de la aplicación para asegurarte de que (ejemplo.com) y www.ejemplo.com o ejemplo.com están en la nube naranja.

Para que se aprovisione el certificado Universal SSL de Cloudflare, debes rellenar de naranja todos los registros necesarios. Una vez que el registro DNS esté rellenado de naranja, tu certificado Universal SSL de Cloudflare empezará a ser aprovisionado.

Puedes encontrar más información sobre cómo hacerlo en la guía de configuración rápida que aparece a continuación:

Otros errores SSL/TLS

Solucionar el error 520: El servidor web devuelve un error desconocido
Solucionar el error 521: El servidor web no funciona
Solucionar el error 525: El protocolo de enlace SSL ha fallado
Solucionar el error 526: Certificados SSL no válidos

Si necesitas más ayuda
Esta comunidad de otros usuarios de Cloudflare puede ayudarte, inicia sesión en Cloudflare y publica tu pregunta en la Comunidad. Cuando publiques en la Comunidad, asegúrate de incluir toda la información posible: el mensaje de error específico que ves, las URL en las que ocurre, una captura de pantalla del error y los pasos para reproducirlo. Para que podamos ayudarte, indícanos qué pasos de solución de problemas has probado.

Se agradecen los comentarios de los expertos
Este Consejo de la comunidad permanecerá abierto para recibir las aportaciones de los expertos de la comunidad y de quienes estén familiarizados con este asunto. Apreciamos mucho los comentarios como “Cuáles son las tres cosas que hay que intentar siempre”, o “Haz esto primero” o “Según mi experiencia”.

Este es un Consejo de la comunidad de Cloudflare, para revisar otros consejos haz clic aquí.

Çevirme…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg: Traducir este consejo

AQSECT 030321