Descubre los beneficios y las limitaciones de los certificados Universal SSL gratuitos de Cloudflare y decide si Universal SSL es adecuado para tu dominio.

Información general

Universal SSL hace referencia a los certificados SSL gratuitos que Cloudflare emite para los clientes en un plazo de 24 horas desde la activación del dominio. La emisión del certificado requiere el redireccionamiento mediante proxy a través de Cloudflare.

Universal SSL solo se utiliza para encriptar el tráfico entre un visitante del sitio y Cloudflare. No encripta el tráfico entre Cloudflare y el servidor web de origen. Para más información sobre la encriptación entre Cloudflare y tu servidor web de origen, revisa Modos de encriptación SSL/TLS y Certificados de origen de Cloudflare.

El tiempo de emisión de Universal SSL depende estrictamente de ciertas comprobaciones de seguridad y otros requisitos estipulados por las autoridades de certificación (CA).

No se requieren certificados SSL del servidor web de origen para que Cloudflare emita un certificado Universal SSL. Sin embargo, Cloudflare recomienda instalar un certificado de origen de Cloudflare para garantizar que la comunicación se encripte entre Cloudflare y tu servidor web de origen.

Para garantizar la encriptación SSL entre Cloudflare y tu servidor web de origen, establece el modo de encriptación SSL/TLS en la aplicación SSL/TLS  de Cloudflare como completo o completo (estricto).

Limitaciones

Los certificados SSL universales se limitan a los nombres de host cubiertos y los navegadores cliente compatibles.

Cobertura de nombre del servidor

Configuración completa

Los certificados SSL universales solo admiten SSL para el dominio raíz o subdominios de primer nivel como ejemplo.com y www.ejemplo.com. Para habilitar la compatibilidad con SSL en subdominios de segundo, tercer y cuarto nivel, como dev.www.ejemplo.com o app3.dev.www.ejemplo.com, puedes:

• Adquirir la función de administrador avanzado de certificados.
• Actualizar a un plan Business o Enterprise para cargar un certificado SSL personalizado.

Configuración de CNAME

En una zona de configuración de CNAME , se implementa un certificado Universal SSL por cada subdominio redirigido por proxy. Así, los subdominios de varios niveles tendrán su propio certificado Universal SSL implementado, a diferencia de la configuración en modo completo, y no requieren funciones adicionales para la compatibilidad.

Compatibilidad de navegadores

Universal SSL utiliza certificados de  indicación del nombre del servidor (SNI) con algoritmo de firma digital de curva elíptica (ECDSA).  El equipo de asistencia de Cloudflare puede habilitar el soporte sin SNI de certificados universales, dedicados, personalizados o con nombre de host personalizado para dominios con planes Pro, Business o Enterprise.  Los certificados SNI y ECDSA funcionan con los siguientes navegadores modernos:

Navegadores de escritorio instalados en Windows Vista o en OS X 10.6 o posteriores:

• Internet Explorer 7
• Firefox 2
• Opera 8 (con TLS 1.1 habilitado)
• Google Chrome v5.0.342.0
• Safari 2.1

Navegadores móviles:

• Mobile Safari para iOS 4.0
• Android 3.0 (Honeycomb) y posteriores
• Windows Phone 7

Desactivación de Universal SSL

Algunos clientes de Cloudflare deben administrar sus propios certificados SSL para cumplir con los procedimientos operativos estándar o las políticas de su organización. Otros clientes solo confían en autoridades de certificación (AC) específicas y excluyen las AC que Cloudflare utiliza para proveer de certificados SSL. Puedes desactivar Universal SSL a través de la aplicación SSL/TLS del panel de control de Cloudflare después de haber cargado los certificados SSL personalizados específicos.

¿Qué ocurre si deshabilito Universal SSL?

Deshabilitar Universal SSL elimina los certificados Universal SSL de un dominio de la red de Cloudflare. Cloudflare no solicitará ni renovará los certificados Universal SSL hasta que se vuelva a habilitar Universal SSL.

Pueden producirse errores cuando se visita un dominio que utiliza las siguientes funciones si el SSL (universal y personalizado) del sitio está desactivado a través de Cloudflare:

• HSTS
• Usar siempre HTTPS
• Encriptación oportunista
• Cualquier regla de página que redirija el tráfico hacia HTTPS
• Cualquier redireccionamiento de HTTP a HTTPS en el servidor web de origen

Para evitar errores de tráfico en tu sitio, carga un certificado personalizado o compra un certificado SSL dedicado antes de desactivar Universal SSL.

¿Cómo deshabilito Universal SSL?

Para deshabilitar Universal SSL:

1. Inicia sesión en el panel de control de Cloudflare.
2. Haz clic en la cuenta de Cloudflare que corresponda al dominio en el que deseas desactivar Universal SSL.
3. Comprueba que has seleccionado el dominio pertinente.
4. Haz clic en la aplicación SSL/TLS .
5. Desplázate hasta la sección Desactivar Universal SSL .
6. Pulsa Desactivar Universal SSL y aparecerá un cuadro de diálogo de Confirmación.
7. Lee las advertencias de la Confirmación.
8. Marca Entendido y haz clic en Confirmar.

Recursos relacionados

• Presentación de Universal SSL
• Compatibilidad de navegadores SNI de Apache
• Opciones SSL de Cloudflare
• Asistencia para cifrado, navegador y protocolo SSL de Cloudflare