Portada Certificados SSL Let’s Encrypt con Cloudflare – ¿Cómo Usarlo?
¿Cómo podemos usar Let’s Encrypt con Cloudflare? ¡Que buena pregunta! En Hostinet te ayudamos a descubrir la respuesta… pero antes vamos con un par de frase cillas para definir que es cada servicio, aunque seguramente ya conocemos a ambos servicios de sobra, pero no está demás comentarlos para todos aquellos que sean nuevo bajo estos dos términos:
Let’s Encrypt es un servicio gratuito para poder crear Certificados SSL que se auto-renueven cada 3 meses en el servidor, sin ningún tipo de coste adicional para nuestro webite. Los ajustes de configuración inadecuados al usar Cloudflare con Let’s Encrypt podrían causar errores de conexión.
Por otro lado, Cloudflare es otro popular servicio online que funciona como un CDN (Content Delivery Network), entre otras cosas. Es muy útil para entregar contenido en todas partes del mundo y preservar los recursos del hosting; mitigando los consumos de ancho de banda.
Veamos en el día de hoy cómo podemos configurar Cloudflare para usar Let’s Encrypt SSL algo que por cierto nos han pedido muchos clientes que usan el servicio de CloudFlare.
Para usar Let’s Encrypt en Cloudflare, Let’s Encrypt debe estar instalado en el servidor. Este proceso ya lo hemos explicado muchas veces, por lo que no tiene sentido volver a hacerlo… directamente recomendamos visitar esta página donde indicamos como se instala Let’s Encrypt; tanto en Plesk como cPanel.
Además, recordemos que hemos creado un cron para que cada 12 horas el certificado se genere automáticamente bajo planes Linux de Hostinet.
Primero, necesitaremos una cuenta de Cloudflare y generar un certificado Let’s Encrypt en el servidor como ya hemos comentado antes o esperar que pase 12 horas.
Si seleccionamos el modo SSL incorrecto en Cloudflare, no se cargará y, en su lugar, mostrará un certificado SSL no válido. Este es un error muy común, pero que se puede evitar para garantizar que nuestros clientes tengan una experiencia positiva bajo nuestro sitio web.
Una parte clave es asegurarnos de que el modo SSL correcto está configurado en Cloudflare, ya que este popular CDN ofrece varias opciones para poner un certificado SSL:
– Desactivado (inseguro) No se aplicó encriptación – Flexible Cifra el tráfico entre el navegador y Cloudflare – Completo Cifra de un extremo a otro con un certificado autofirmado en el servidor – Completo (estricto) Cifra de un extremo a otro, pero requiere un certificado de autoridad de certificación de confianza o de CA de Origen de Cloudflare en el servidor
Se puede acceder a los modos SSL desde el menú principal de Cloudflare, pinchando sobre el casillero SSL/TLS, así como después seleccionando la opción Completo (estricto) de la parte derecha.
Hacemos scroll hacia abajo para comprobar que mantenemos siempre activada la opción “SSL/TLS Recommender”.
Después de configurar el modo SSL, necesitaremos habilitar HSTS, pero antes, en el menú principal de Cloudflare, pinchamos en el casillero SSL/TLS, después en la pestaña superior “Certificados de perímetro”, buscamos la opción Usar siempre HTTPS y la activamos (ON); esto lo que hace es redirigir todas las solicitudes con la combinación “http” a “https”. Se aplica a todas las solicitudes HTTP de la zona.
Tras ello, buscamos la sección Seguridad de transporte estricta de HTTP (HSTS) que estará a continuación. Activamos esa opción, en el botón azul de la derecha, y listo.
Aunque tendremos que seleccionar el checkbox de verificación con la palabra «Comprendo” y hacer click en el botón Siguiente.
Entonces, aparecerá un popup emergente, donde estableceremos los siguientes valores y haremos click en guardar:
– Habilitar HSTS (seguridad de transporte estricta): ON Entregar encabezados HSTS con todas las solicitudes HTTPS– Encabezado de edad máxima (max-age): 3 meses Especificar el tiempo que los encabezados HSTS se almacenan en caché en los navegadores– Aplicar la política HSTS a los subdominios (includeSubDomains): OFF Todos los dominios a continuación heredarán los mismos encabezados HSTS Atención: Si alguno de los subdominios no es compatible con HTTPS, será inaccesible.– Precarga: OFF Permita que los navegadores precarguen la configuración HSTS automáticamente Atención: La precarga puede hacer que un sitio web sin soporte HTTPS sea completamente inaccesible.– Encabezado antirrastreo: OFF Enviar el encabezado “X-Content-Type-Options: nosniff” para evitar que Internet Explorer y Google Chrome hagan rastreo de MIME del tipo de contenido declarado.
– Habilitar HSTS (seguridad de transporte estricta): ON Entregar encabezados HSTS con todas las solicitudes HTTPS
– Encabezado de edad máxima (max-age): 3 meses Especificar el tiempo que los encabezados HSTS se almacenan en caché en los navegadores
– Aplicar la política HSTS a los subdominios (includeSubDomains): OFF Todos los dominios a continuación heredarán los mismos encabezados HSTS Atención: Si alguno de los subdominios no es compatible con HTTPS, será inaccesible.
– Precarga: OFF Permita que los navegadores precarguen la configuración HSTS automáticamente Atención: La precarga puede hacer que un sitio web sin soporte HTTPS sea completamente inaccesible.
– Encabezado antirrastreo: OFF Enviar el encabezado “X-Content-Type-Options: nosniff” para evitar que Internet Explorer y Google Chrome hagan rastreo de MIME del tipo de contenido declarado.
A continuación, debemos establecer la Versión mínima de TLS en TLS 1.2 y la Encriptación oportunista en ON. Así como también establecer TLS 1.3 en ON y Reescrituras automáticas HTTPS en ON.
Por ultimo, abajo del todo, desactivamos la opción Universal SSL. Ya no usaremos el certificado SSL universal de Cloudflare, sino que usaremos SSL almacenados en nuestro servidor, en este caso, Let’s Encrypt.
Estos sencillos pasos realizados en Cloudflare nos ayudarán a evitar cualquier temido tiempo de inactividad. Esto significa que nuestros clientes podrán confiar plenamente en que los datos se transferirán de forma segura con HTTPS a través de Let’s Encrypt configurado en nuestro servidor. Cualquier otra configuración diferente lo más seguro es que acabe dando error.
En Hostinet contamos con una amplia gama de Planes Linux. En todos ellos se puede instalar fácilmente Let’s Encrypt; Certificado SSL completamente gratuito que se auto-renueva cada 3 meses.