Una extracción de origen ocurre cuando Cloudflare no puede servir contenido desde la caché de nuestra red. Cloudflare habilita las extracciones de origen que están autenticadas a través de un proceso de validación certificado.

Información general

Cloudflare se ubica en la red entre los navegadores web del usuario final y los servidores de origen del sitio web.  El tráfico va desde navegador web hasta Cloudflare.  Cloudflare completa la solicitud desde la caché cuando sea. Si no, vuelve al servidor web de origen en una segunda conexión.  Este tipo de solicitud se llama extracción de origen.

Navegador a Cloudflare

El enlace entre los navegadores web del usuario final y Cloudflare se benefician de la sólida tecnología de seguridad —cifrados poderosos, SSL con certificados provistos automáticamente y la infraestructura CA pública que se aplica a certificados y nombres de dominio.  Los navegadores validan el certificado del servidor para asegurar que se están comunicando con el servidor web indicado.

Cloudflare a servidor de origen

Authenticated Origin Pulls permite que los servidores web de origen validen de manera sólida que una solicitud web proviene de Cloudflare.  Usamos autenticación de certificado de cliente TLS, una función que soportan la mayoría de los servidores web, y presentamos un certificado de Cloudflare cuando establecemos una conexión entre Cloudflare y el servidor de origen.  Al validar este certificado en una configuración de servidor de origen, el acceso puede verse limitado a las conexiones de Cloudflare.

Authenticated Origin Pulls es particularmente importante a la hora de sacar provecho de las funciones de seguridad del firewall de aplicaciones web (WAF) de Cloudflare.  Al usar Authenticated Origin Pulls con una configuración restringida a Cloudflare, los sitios web pueden estar seguros de que todo el tráfico ha sido procesado por un firewall de aplicaciones web de última generación.

Protocolo de enlace TLS

Sin Authenticated Origin Pulls, la sesión TLS entre Cloudflare y el origen se verá de la siguiente manera:

Con Authenticated Origin Pulls, las conexiones se verán de la siguiente manera:

Instalación en Apache y NGINX

Haz clic a continuación para expandir las instrucciones sobre la configuración de Authenticated Origin Pulls de TLS para servidores web de origen de NGINX o Apache.

SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile /path/to/origin-pull-ca.pem

    ssl_client_certificate /etc/nginx/certs/cloudflare.crt;    ssl_verify_client on;

Certificado de extracción de origen

Cloudflare usa la siguiente autoridad de certificados para firmar certificado para el servicio Authenticated Origin Pull: