Asistencia para cifrado, navegador y protocolo SSL de Cloudflare

Comprende qué cifrados TLS y protocolos admite Cloudflare. Aprende qué navegadores admiten los certificados SSL de Cloudflare y qué certificados intermedios y de raíz se usan para firmar certificados de Cloudflare.


Asistencia para cifrado TLS/SSL de Cloudflare

Debido a que el cifrado del tráfico sucede entre visitantes web y Cloudflare o entre Cloudflare y tu servidor web de origen, Cloudflare distingue entre los siguientes:

Cifrados TLS/SSL de servidor web de origen compatibles con Cloudflare

Según la opción SSL especificada en la aplicación SSL/TLS de Cloudflare, Cloudflare se conecta a un servidor web de origen por HTTP o HTTPS. A continuación, se encuentra la lista de cifrados SSL de servidor de origen que admite Cloudflare para TLS 1.3, TLS 1.2 y versiones anteriores de TLS cuando se conecta a tu servidor web de origen con HTTPS:


TLS 1.2 y versiones anteriores de TLS:

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA
  • DES-CBC3-SHA

TLS 1.3:

Nombre de la suite de cifrado (IANA)

Suite de cifrado (valor octal)

TLS_AES_128_GCM_SHA256

{0x13,0x01}

TLS_AES_256_GCM_SHA384

{0x13,0x02}

TLS_CHACHA20_POLY1305_SHA256

{0x13,0x03}

 

Cifrados TLS/SSL de Cloudflare

La configuración del navegador del cliente y del servidor web determinan la suite de cifrado que se usa, no el certificado SSL. Cuando un navegador inicia una conexión HTTPS, envía una lista de suites de cifrado que admite. Luego, el servidor web selecciona la que quiere usar.

En la actualidad, Cloudflare prefiere negociar una conexión mediante el uso de AES128. Para usar AES256, el navegador del cliente debe ejecutar una suite de cifrado de 256 bits. Si bien preferimos usar AES128, esto puede cambiar en el futuro.

A continuación, se encuentra la lista de cifrados SSL que admite Cloudflare para TLS 1.3, TLS 1.2 y anteriores para los clientes de planes de pago:

 

Nombre de OpenSSL

TLS 1.0

TLS 1.1

TLS 1.2

TLS 1.3

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-CHACHA20-POLY1305

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-CHACHA20-POLY1305

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

DES-CBC3-SHA

AEAD-AES128-GCM-SHA256 

AEAD-AES256-GCM-SHA384 

AEAD-CHACHA20-POLY1305-SHA256

Para obtener los detalles más recientes sobre la configuración SSL de Cloudflare, mira nuestro repositorio público de configuraciones SSL.

Los dominios gratuitos que usan Universal SSL son certificados SHA2+ECDSA emitidos. Esto requiere que los navegadores de los clientes admitan criptografía de curva elíptica (ECC) y SNI.

Asistencia para protocolo TLS/SSL de Cloudflare

Cloudflare solo usa TLS 1.0, TLS 1.1, TLS 1.2 y TLS 1.3 para establecer conexiones SSL entre el visitante y Cloudflare.

TLS 1.2 ha pasado a ser el estándar de la industria en 2008. Tanto el Consejo sobre Normas de Seguridad de Payment Card Industry (PCI SSC) como el Instituto Nacional de Estándares y Tecnología (NIST) avalan TLS 1.2 para una mayor seguridad en la Web.

No se admite SSLv3 debido a vulnerabilidades de seguridad. La versión 1.0 de TLS se considera insegura debido a su vulnerabilidad a ataques como BEAST y POODLE.

Asistencia para navegador TLS/SSL de Cloudflare

Cloudflare implementa más certificados SSL para los planes de pago que para los planes Free. Esto permite que los planes de pago admitan ciertos dispositivos anteriores. Para obtener más información sobre qué protocolos y cifrados SSL admite tu navegador actual, visita https://www.ssllabs.com/ssltest/viewMyClient.html.

Asistencia para navegadores modernos para dominios en los planes de pago de Cloudflare

Los certificados SSL de Cloudflare utilizan la extensión Nombres alternativos del firmante (SAN) para admitir dominios múltiples en el mismo certificado SSL.  Además, los certificados dedicados y los certificados de Universal SSL usan la indicación de nombre de servidor (SNI) con Elliptic Curve Digital Signature Algorithm (ECDSA). Los certificados SNI y ECDSA trabajan con los siguientes navegadores modernos:

Navegadores de escritorio instalados en Windows Vista u OS X 10.6 o posterior:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (con TLS 1.1 habilitado)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Navegadores móviles:

  • Mobile Safari para iOS 4.0
  • Android 3.0 (Honeycomb) y posteriores
  • Windows Phone 7

Asistencia para navegadores modernos en los dominios de plan Free de Cloudflare

Debido a la menor cantidad de certificados SSL proporcionados para los dominios de Cloudflare en los planes Free, la compatibilidad con navegadores SSL para dominios de plan Free se limita a navegadores un poco más nuevos:

Navegadores de escritorio mínimos admitidos:

  • Firefox 2
  • Internet Explorer 7 en Windows Vista
  • Windows Vista u OS X 10.6 con:
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

Navegadores móviles mínimos admitidos:

  • Mobile Safari en iOS 4.0
  • Android 4.0 (“Ice Cream Sandwich”)
  • Windows Phone 7

SSL intermedios y de raíz que se usan para firmar certificados de Cloudflare

Sectigo o Digicert emiten certificados Universal SSL. Digicert emite certificados SSL dedicados y SSL para SaaS.

Sectigo

Haz clic para expandir el contenido contraído a continuación para obtener más detalles sobre los certificados intermedios y de raíz que se usan para firmar los siguientes certificados de Cloudflare:

Digicert

Haz clic para expandir el contenido contraído a continuación para obtener más detalles sobre los certificados intermedios y de raíz que se usan para firmar los siguientes certificados de Cloudflare:


Recursos relacionados

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk