Authenticated Origin Pulls

Una extracción de origen ocurre cuando Cloudflare no puede servir contenido desde la caché de nuestra red. Cloudflare habilita las extracciones de origen que están autenticadas a través de un proceso de validación certificado.


Información general

Cloudflare se ubica en la red entre los navegadores web del usuario final y los servidores de origen del sitio web.  El tráfico va desde navegador web hasta Cloudflare.  Cloudflare completa la solicitud desde la caché cuando sea. Si no, vuelve al servidor web de origen en una segunda conexión.  Este tipo de solicitud se llama extracción de origen.


Navegador a Cloudflare

El enlace entre los navegadores web del usuario final y Cloudflare se benefician de la sólida tecnología de seguridad —cifrados poderosos, SSL con certificados provistos automáticamente y la infraestructura CA pública que se aplica a certificados y nombres de dominio.  Los navegadores validan el certificado del servidor para asegurar que se están comunicando con el servidor web indicado.


Cloudflare a servidor de origen

Authenticated Origin Pulls permite que los servidores web de origen validen de manera sólida que una solicitud web proviene de Cloudflare.  Usamos autenticación de certificado de cliente TLS, una función que soportan la mayoría de los servidores web, y presentamos un certificado de Cloudflare cuando establecemos una conexión entre Cloudflare y el servidor de origen.  Al validar este certificado en una configuración de servidor de origen, el acceso puede verse limitado a las conexiones de Cloudflare.

Authenticated Origin Pulls es particularmente importante a la hora de sacar provecho de las funciones de seguridad del firewall de aplicaciones web (WAF) de Cloudflare.  Al usar Authenticated Origin Pulls con una configuración restringida a Cloudflare, los sitios web pueden estar seguros de que todo el tráfico ha sido procesado por un firewall de aplicaciones web de última generación.

 
Cuando tu servidor de origen imponga Authenticated Origin Pulls, cualquier solicitud HTTPS fuera de Cloudflare a tu origen no podrá incluir los registros de nube gris en Cloudflare.

Protocolo de enlace TLS

Sin Authenticated Origin Pulls, la sesión TLS entre Cloudflare y el origen se verá de la siguiente manera:

Protocolo de enlace TLS normal

Con Authenticated Origin Pulls, las conexiones se verán de la siguiente manera:

Protocolo de enlace TLS autenticado por el cliente


Instalación en Apache y NGINX

 
En la actualidad, la función Authenticated Origin Pulls no es compatible con Railgun.

Haz clic a continuación para expandir las instrucciones sobre la configuración de Authenticated Origin Pulls de TLS para servidores web de origen de NGINX o Apache.


Certificado de extracción de origen

Cloudflare usa la siguiente autoridad de certificados para firmar certificado para el servicio Authenticated Origin Pull:

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk