Durante estos últimos 5 años una empresa de tecnología esta en todos lados en lo referente a sitios web, la pequeña startup que ya creció a grandes pasos y ofrece infinidad de mejoras no es otra ni mas ni menos que CloudFlare, no hablare sobre ella ya que desde que la probé en la «open beta» me enamore de ella y la sigo usando al día de hoy en infinidad de cosas.
Hoy quiero hablar sobre el SSL de CloudFlare ya que Google anuncio que su navegador (chrome) a partir de Julio marcara todos los sitios sin SSL como «no seguros» que aunque es verdad que no están encriptando los paquetes de sus visitantes estos sitios, creo que están «forzando» mucho el SSL en todos lados, si seguridad siempre es mejor pero como pudo pasar con Let’s Encrypt donde a muchos hackers les dieron SSL gratis para sus cosas probablemente cree confusión si un sitio «malo» tiene «seguro» como marca.
Ahora, CloudFlare maneja 3 tipos de SSL
Flexible: Es el tipo de SSL que encripta la conexion de un visitando a la red de cloudflare pero al mandarlo al servidor no pasa por la encriptacion (no necesita SSL el servidor web). En resumen es un falso «ssl» ya que no protege como si al usuario pero da una sensación de falsa seguridad.
Full: Es el tipo de SSL que encripta la conexión de un visitante con un certificado no validado (self-certificate) osea el visitante si esta protegido desde cloudflare al cliente y al servidor, pero el SSL del servidor web simplemente usa un certificado «no comercial» que cumple bien su función pero no esta respaldado por una empresa. (El típico certificado que nos da un aviso de que no es reconocido) al usar este tipo de certificados con CloudFlare nos da una verdadera seguridad y no nos da la alerta del certificado.
Full Strict: Es lo mismo que Full pero en esta ocasión el certificado que utilizamos si esta validado y tiene respaldo por lo que es «mas seguro» y no es necesario utilizar CloudFlare para que muestre el candado ya que no nos dará un aviso o algo similar.
Nota: Se puede utilizar CloudFlare Flexible sin tener un certificado instalado, ya que esto pasa por el servidor de CloudFlare hacia nosotros lo que se puede considerar una estafa al usuario pero cumple con el fin de mostrar el «candado de seguridad».
No puedes utilizar Full Strict si usas un certificado no validado o viceversa con los otros tipos de SSL, cada uno esta diseñado para lo que explique.
En resumen creo que si se va a utilizar SSL con CloudFlare lo ideal es utilizar Full o Full Strict y dejar de ultimo recurso el Flexible pero si se quiere salir del apuro, el Flexible nos resuelve la vida.
