Hoy, nos complace anunciar TLS total, una función que con un solo clic emitirá certificados TLS individuales para cada subdominio de los dominios de nuestro cliente.
Por defecto, todos los clientes de Cloudflare reciben un certificado TLS gratuito que cubre el apex y un comodín (ejemplo.com, *.ejemplo.com) de su dominio. Ahora, con TLS total, con solo un clic los clientes pueden obtener cobertura adicional para todos sus subdominios. Una vez activada esta función, los clientes ya no tienen que preocuparse de que se produzcan errores de conexión no segura a subdominios que no estén cubiertos por su certificado TLS por defecto, ya que TLS total mantendrá encriptado todo el tráfico que se dirija a los subdominios.
Guía de las soluciones de certificados TLS de Cloudflare
SSL universal, la opción "fácil"
En 2014, anunciamos SSL universal, un certificado TLS gratuito para todos los clientes de Cloudflare. Diseñamos SSL universal como una solución genérica y sencilla. Para los clientes que utilizan Cloudflare como su proveedor de DNS autoritativo, este certificado cubre el apex y un comodín, p. ej., ejemplo.com y *.ejemplo.com. Aunque un certificado SSL universal proporciona una cobertura suficiente para la mayoría de los clientes, algunos tienen subdominios más profundos, como a.b.ejemplo.com, para los que querrían tener cobertura de TLS. Para ellos, hemos desarrollado el Administrador de certificados avanzados, una plataforma personalizable para la emisión de certificados que permite que los clientes emitan certificados con los nombres de host que prefieran.
Certificados avanzados, la opción "personalizable"
Para los clientes que desean flexibilidad y diversidad de opciones, hemos desarrollado los certificados avanzados, que están disponibles como parte del Administrador de certificados avanzados. Con los certificados avanzados, los clientes pueden especificar los nombres de host exactos que se incluirán en el certificado.
Esto significa que, si mi certificado SSL universal no es suficiente, puedo utilizar la interfaz de usuario o la API de certificados avanzados para solicitar un certificado que cubra "a.b.ejemplo.com" y "a.b.c.ejemplo.com". Hoy, nuestros clientes pueden colocar hasta 50 nombres de host en un certificado avanzado. Solo hay una limitación: deben indicarnos los nombres de host que desean proteger.
Esto puede parecer sencillo, pero algunos de nuestros clientes tienen miles de subdominios que desean proteger. Tenemos clientes con subdominios que abarcan desde a.b.ejemplo.com a a.b.c.d.e.f.ejemplo.com y, para que estos estén cubiertos, los clientes deben utilizar la API de certificados avanzados para indicarnos el nombre de host que desean que protejamos. Un proceso de este tipo se presta a errores, no es fácil de escalar y algunos de nuestros clientes más importantes lo han rechazado como solución.
En su lugar, los clientes quieren que Cloudflare emita los certificados para ellos. Si Cloudflare es el proveedor de DNS, entonces Cloudflare debería saber qué subdominios necesitan protección. Lo ideal sería que Cloudflare emitiera un certificado TLS para cada subdominio que redireccione mediante proxy su tráfico a través de la red de Cloudflare… y aquí es donde TLS total entra en juego.
Pásate a Total TLS: fácil, personalizable y escalable
TLS total es un botón con el que, con solo un clic, indicas a Cloudflare que emita automáticamente certificados TLS para cada registro DNS redireccionado mediante proxy en tu dominio. Una vez activada esta función, Cloudflare emitirá certificados individuales para cada nombre de host redireccionado mediante proxy. De esta forma, puedes añadir tantos registros DNS y subdominios como quieras, sin preocuparte de si estarán cubiertos por un certificado TLS.
Si tienes un registro DNS para a.b.ejemplo.com, emitiremos un certificado TLS con el nombre de host a.b.ejemplo.com. Si tienes un registro comodín para *.a.b.ejemplo.com, emitiremos un certificado TLS para *.a.b.ejemplo.com. Incluimos a continuación un ejemplo de cómo se mostrará esto en la tabla de certificados de perímetro del panel de control:
Ya disponible
TLS total ya está disponible para utilizarlo como parte del Administrador de certificados avanzados para los dominios que utilizan Cloudflare como un proveedor de DNS autoritativo. Uno de los superpoderes de tener Cloudflare como tu proveedor de DNS es que siempre añadiremos los registros de validación de control de dominio (DCV) adecuados en tu nombre para garantizar la emisión y renovación correctas de los certificados.
Activar TLS total es fácil. Puedes hacerlo mediante el panel de control o mediante la API de Cloudflare. En la pestaña SSL/TLS del panel de control de Cloudflare, ve a TLS total. Allí, elige la entidad de certificación emisora (Let’s Encrypt, Google Trust Services o Ninguna preferencia). Si quieres que Cloudflare seleccione la entidad de certificación en tu nombre, haz clic en el botón para activar la función.
Pero eso no es todo…
Un desafío que queríamos resolver para todos los clientes era la visibilidad. Analizando las incidencias de soporte técnico y las conversaciones con los clientes, nos dimos cuenta de que no siempre saben si su dominio está cubierto por un certificado TLS, un simple descuido que puede causar tiempo de inactividad y errores.
Para evitar que esto suceda, ahora, si vemos que el registro DNS redireccionado mediante proxy que están creando, visualizando o editando no tiene un certificado TLS que le proporcione cobertura, el cliente recibirá un aviso. De esta forma, nuestros clientes pueden obtener un certificado TLS emitido antes de que el nombre de host esté disponible públicamente, lo que evitará que los visitantes se encuentren este error:
Participa en la misión
En Cloudflare, nos encanta desarrollar productos que ayuden a proteger todas las propiedades de Internet. ¿Te interesa lograr esta misión con nosotros? Únete al equipo.