Skip to main content

Configuración de Cloudflare

Email Routing

Ocultar mi email con Cloudflare Email Routing me permite crear un alias personalizado (como el que aparece en la pagina de bienvenida de la wiki: inquiries@sergio-jimenez.net) que reenvie correos a mi cuenta real, protegiendo mi dirección principal de SPAM.

image.png

Regla de routing creada:

image.png

SSL/TLS

Edge certificate: Lo presenta cloudflare al cliente que visita sergio-jimenez.net.
Origin certificate: Gestionado por el NPM en mi caso.

La herramienta/sección SSL/TLS encryption modes gestiona como Cloudflare usa ambos certificados.

En primer lugar hay que decidir si el ajuste del modo es automático o manual. En mi caso lo tengo en lo recomendado, que es automático, y el modo automático a su vez ha elegido la configuración Full (strict):

image.png

Descripciones de los diferentes modos de encriptación:

image.png

Volviendo al certificado de tipo Edge, hay que saber que por defecto, Cloudflare emite (y renueva automáticamente), certificados SSL gratuitos, de confianza y no compartidos a todos los dominios añadidos y activados en Cloudflare.

image.png

Para los dominios que tengan un full setup en DNS, estos reciben un certificado SSL universal. Este certificado, como se ve en la imagen de arriba, cubre el dominio raíz y el primer nivel de subdominio. Son provisionados incluso si los records son DNS-only, aunque solo se presentan si dichos dominios están proxiados, obviamente.

HTTP Strict Transport Security (HSTS)

HSTS protege los servidores web HTTPS de ataques de degradación. Estos ataques redirigen los navegadores web desde un servidor HTTPS a un servidor controlado por el atacante, lo que permite a los ciberdelincuentes comprometer los datos y las cookies de los usuarios. HSTS añade una cabecera HTTP que dirige a los navegadores compatibles a:

  • Transformar los enlaces HTTP en enlaces HTTPS
  • Evitar que los usuarios ignoren las advertencias SSL del navegador

image.png

image.png

Automatic HTTPS Rewrites

Estos rewrites son básicamente un "seguro". Básicamente, los actúan como un traductor en tiempo real. Cuando un usuario visita tu web de forma segura (vía HTTPS), pero tu código interno todavía tiene enlaces antiguos a imágenes, scripts o vídeos que empiezan con http://, Cloudflare los cambia automáticamente a https:// antes de que lleguen al navegador.

image.png

TLS 1.3 enabled (and TLS 1.2 minimum) + opportunistic encryption

  • TLS 1.3 y Mínimo 1.2: Usa la versión más rápida y moderna de cifrado, bloqueando de paso protocolos viejos que son vulnerables para que nadie pueda "bajar" tu seguridad.

  • Opportunistic Encryption: Añade una capa extra de protección y velocidad (HTTP/2) incluso a las conexiones que no son totalmente seguras desde el inicio, aprovechando cada oportunidad para cifrar.

Back to top