Modos de SSL en Cloudflare: Flexible, Full y Full (Strict)
SSL / TLS
1

Por qué existen varios modos SSL

Cuando Cloudflare actúa como proxy, hay dos conexiones que cifrar: la que va del visitante a Cloudflare y la que va de Cloudflare a tu servidor de origen. El modo SSL de Cloudflare define cómo se manejan esas dos conexiones. Elegir el modo correcto es una decisión de seguridad crítica que mucha gente pasa por alto.

Los cuatro modos

Off

No hay cifrado. Todo el tráfico va en HTTP plano. No deberías usarlo nunca en un sitio real: exposición total a intercepción y modificación del tráfico.

Flexible

El visitante se conecta a Cloudflare por HTTPS, pero Cloudflare habla con tu servidor por HTTP. Es decir, el tramo entre Cloudflare y tu origen viaja sin cifrar.

Este modo existe porque permite mostrar el candadito verde en sitios que no tienen ningún certificado instalado en el servidor. Pero tiene un problema grave: cualquier atacante con acceso al tramo entre Cloudflare y tu servidor (proveedor de red, nodos intermedios, redes públicas del datacenter) puede leer o modificar el tráfico. Es un man-in-the-middle permitido por diseño.

Además, muchos sitios que usan Flexible caen en bucles de redirección porque WordPress u otras aplicaciones detectan que llegaron por HTTP y redirigen a HTTPS, y Cloudflare las vuelve a pasar a HTTP hacia el origen.

Full

Aquí ya hay cifrado en ambos tramos: visitante → Cloudflare y Cloudflare → origen. La diferencia con el siguiente modo es que Cloudflare no valida el certificado del servidor de origen. Acepta cualquier certificado, incluso uno autofirmado o expirado.

Es mejor que Flexible porque al menos el tráfico está cifrado, pero sigue siendo vulnerable a un atacante que pueda interponerse en la ruta hacia tu servidor y presentar su propio certificado.

Full (Strict)

El modo que deberías usar en producción. Cifra ambos tramos y Cloudflare verifica que el certificado del origen sea válido:

  • Emitido por una autoridad certificadora reconocida (o por Cloudflare Origin CA).
  • Vigente (no expirado).
  • Coincidente con el nombre del dominio.

Así no hay forma de que alguien se interponga con un certificado falso entre Cloudflare y tu servidor. Es la única configuración que ofrece garantías de extremo a extremo.

Cómo pasar a Full (Strict) sin romper nada

  1. Asegúrate de que tu servidor tenga un certificado SSL válido. Si tu hosting ya ofrece Let's Encrypt o AutoSSL (cPanel), probablemente ya lo tienes.
  2. Verifica que el certificado cubra dominio.com y www.dominio.com.
  3. Prueba acceder a tu sitio por HTTPS saltándote Cloudflare (por ejemplo, desde un navegador con la IP en el archivo hosts). Si carga sin advertencias, el certificado del origen está bien.
  4. En el panel de Cloudflare → SSL/TLS, cambia el modo a Full (Strict).

Si el sitio sigue funcionando, listo. Si aparece error 526 (invalid SSL certificate), tu origen tiene un problema de certificado que debes arreglar antes: expirado, autofirmado o no coincidente con el dominio.

Origin CA: un atajo útil

Cloudflare ofrece certificados gratuitos para el tramo origen-Cloudflare, llamados Origin CA. Duran hasta 15 años y son válidos solo dentro de la red de Cloudflare. Son una manera cómoda de tener Full (Strict) en servidores donde no quieres depender de Let's Encrypt o AutoSSL.

Resumen rápido

  • Off: nunca.
  • Flexible: nunca en producción.
  • Full: aceptable solo como paso intermedio.
  • Full (Strict): el objetivo. Úsalo siempre.