Configuração Completa de TLS/SSL no Cloudflare

14 min de leitura Cloudflare
Configuração Completa de TLS/SSL no Cloudflare

Seu site exibe avisos de "Não seguro" ou falha em validações de Mixed Content apesar de ter certificado ativo, e a configuração TLS/SSL no Cloudflare parece complexa demais para ajustar manualmente sem quebrar a conexão com a origem. Neste tutorial, você dominará o modo Full Strict, gerenciará certificados de origem e aplicará a criptografia ponta a ponta para garantir segurança web robusta e performance máxima.

Neste tutorial:

Pré-requisitos

Antes de aplicar qualquer alteração na criptografia e na segurança web, certifique-se de que a infraestrutura está preparada para suportar a terminação SSL no perímetro do Cloudflare e a validação estrita na origem. Uma configuração TLS/SSL mal planejada pode resultar em erros de handshake, degradação de performance ou exposição de dados sensíveis.

  • Conta Cloudflare ativa: Acesso ao painel de gerenciamento com permissões de administrador para o domínio alvo.
  • Domínio com registros DNS: O domínio deve estar apontado para os nameservers do Cloudflare e os registros A ou CNAME devem estar configurados.
  • Proxy ativado (Nuvem Laranja): Para que o Cloudflare processe a criptografia e proteja a origem, os registros DNS devem estar em modo "Proxied". O modo DNS Only não oferece proteção SSL completa.
  • Servidor de origem acessível: O servidor web (Nginx, Apache, IIS, etc.) deve estar respondendo na porta 443 e possuir um certificado válido. O certificado pode ser emitido por uma Autoridade Certificadora (CA) pública ou pelo Cloudflare Origin CA.
  • Conhecimento de servidor web: Familiaridade com a configuração do servidor de origem para instalar o certificado e a chave privada gerada.

Se a origem ainda não possui certificado, você pode gerar um gratuitamente através da interface do Cloudflare, o que facilita a automação e a renovação. Lembre-se de que o Cloudflare exige um certificado válido na origem quando o modo SSL é definido como Full (Strict), que é o padrão recomendado para máxima segurança.

Modos de TLS/SSL no Cloudflare

A escolha do modo de criptografia define como os dados trafegam entre o cliente final, o perímetro do Cloudflare e o seu servidor de origem. A configuração SSL incorreta é a causa principal de erros como 525 e 526. Selecione o modo adequado conforme a tabela abaixo para alinhar segurança e funcionalidade.

Modo SSL Cliente ↔ Cloudflare Cloudflare ↔ Origem Uso Recomendado
Off HTTP não criptografado HTTP não criptografado Apenas testes locais ou domínios sem HTTPS. Nunca para produção.
Flexible HTTPS criptografado HTTP não criptografado Último recurso se a origem não suporta SSL. Segurança fraca (dados expostos entre Cloudflare e origem).
Full HTTPS criptografado HTTPS criptografado Origem com certificado autoassinado ou expirado. Seguro, mas não valida a cadeia de confiança.
Full (Strict) HTTPS criptografado HTTPS + Validação de CA Melhor prática. Exige certificado válido na origem. Garante criptografia ponta a ponta e protege contra MITM.

Atenção: Evite o modo Flexible em produção. Ele desabilita a criptografia entre o Cloudflare e sua origem, criando um ponto cego de segurança onde dados sensíveis podem ser interceptados. Priorize sempre o Full (Strict) para garantir a integridade da configuração SSL.

O modo Full (Strict) é essencial para cumprir requisitos de compliance e proteger contra ataques de tipo "Man-in-the-Middle". Nesse modo, o Cloudflare valida a cadeia de certificados do seu servidor de origem. Se o certificado for autoassinado, inválido ou expirado, a conexão será rejeitada. Para contornar isso sem sacrificar a segurança, utilize o Cloudflare Origin CA, que emite certificados confiáveis e de curta duração especificamente para comunicações internas.

Passo a passo

Execute as etapas abaixo na ordem para implementar a configuração TLS/SSL completa, otimizar o proxy e garantir a robustez da infraestrutura. Cada passo inclui verificações críticas para evitar interrupções.

1. Configurando o Modo Full (Strict)

Inicie alterando o modo de criptografia para forçar a validação estrita. Esta ação garante que o Cloudflare rejeite conexões inseguras e exija certificados válidos na origem.

  1. Acesse o painel do Cloudflare e selecione o domínio desejado.
  2. No menu lateral, navegue até SSL/TLS > Overview.
  3. Em Encryption mode, clique em Change.
  4. Selecione Full (Strict) e confirme a alteração.

Após a mudança, monitore os logs de acesso e o monitor de status por 10 minutos. Se o tráfego parar, verifique se o certificado na origem é válido e se o nome de domínio no certificado (CN ou SAN) corresponde ao domínio acessado. O Cloudflare não aceitará certificados com nomes incompatíveis ou não assinados por uma CA confiável.

2. Gerenciando Certificados de Origem

Para manter o modo Full (Strict) sem gerenciar renovações manuais, utilize o certificado emitido pelo Cloudflare Origin CA. Este certificado é assinado por uma CA raiz confiável pelo Cloudflare e pode ser renovado automaticamente via API ou scripts.

Para gerar e instalar o certificado:

  1. Vá para SSL/TLS > Origin Server.
  2. Clique em Create Certificate.
  3. Defina o tipo de certificado. Para uso geral, o tipo Cloudflare Origin CA é recomendado.
  4. Configure o Key Type (RSA ou ECDSA). ECDSA oferece performance superior e certificados menores, ideal para dispositivos móveis.
  5. Defina o Validity. O padrão é 15 anos, mas o Cloudflare renova automaticamente antes do expiro.
  6. Clique em Next e copie a Private Key e o Certificate gerados.

Importante: A chave privada gerada nunca é armazenada pelo Cloudflare. Perder a chave privada significa perder a capacidade de renovar ou usar o certificado. Armazene-a em um local seguro e faça backup imediato.

Instale o certificado e a chave privada no seu servidor web. Para Nginx, edite o arquivo de configuração do virtual host e aponte para os arquivos:

server {
    listen 443 ssl http2;
    server_name seu-dominio.com;

    ssl_certificate /etc/ssl/certs/origin.crt;
    ssl_certificate_key /etc/ssl/private/origin.key;

    # Configurações adicionais de TLS
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
}

Recarregue a configuração do servidor web e verifique se a porta 443 está respondendo corretamente antes de prosseguir.

3. Ajustes de DNS e Proxy

A configuração SSL depende diretamente do estado do proxy DNS. Certifique-se de que os registros essenciais estão proxied para que o Cloudflare possa gerenciar a criptografia de ponta a ponta e aplicar regras de segurança.

  • Acesse DNS > Records.
  • Verifique os registros A e CNAME do domínio principal e subdomínios críticos.
  • Garanta que o ícone de proxy esteja em modo Proxied (laranja).
  • Para registros CNAME no nível do root (apex), utilize CNAME Flattening ou registros ALIAS nativos do Cloudflare para evitar loops de DNS.

Se você utiliza subdomínios para APIs ou serviços internos que não devem ser cacheados mas precisam de SSL, mantenha o proxy ativo. O Cloudflare aplica SSL em todas as requisições proxied, independentemente do cache. Desativar o proxy (DNS Only) transfere a responsabilidade de SSL inteiramente para a origem, o que pode ser desejável apenas para cenários específicos de bypass.

4. Ativando HTTP/2 e TLS 1.3

A otimização de performance e segurança é consolidada ao habilitar protocolos modernos. O HTTP/2 multiplexa requisições e reduz a latência, enquanto o TLS 1.3 melhora a velocidade do handshake e a segurança criptográfica.

  1. Navegue para SSL/TLS > Edge Certificates.
  2. Em HTTP/2, ative a opção Enable.
  3. Em Minimum TLS Version, defina TLS 1.2 ou superior. Recomendamos TLS 1.2 como mínimo, mas priorize TLS 1.3.
  4. Em SSL Session Resumption, ative Resumption para reduzir o custo do handshake em conexões subsequentes.

Com o HTTP/2 ativado, seu servidor de origem também deve suportar o protocolo para que a vantagem seja aproveitada de ponta a ponta. No Nginx, a diretiva http2 no listen já foi incluída no exemplo anterior. No Apache, verifique se o módulo mod_http2 está carregado e habilitado.

5. Hardening: HSTS, OCSP e TLS Mínimo

Finalize a configuração TLS/SSL aplicando políticas de segurança para evitar downgrades de protocolo e garantir que o navegador do cliente force HTTPS.

  • No mesmo painel de Edge Certificates, ative Always Use HTTPS. Isso redireciona automaticamente requisições HTTP para HTTPS.
  • Ative Automatic HTTPS Rewrites para corrigir links mistos (Mixed Content) gerados dinamicamente na origem, convertendo URLs http:// para https:// na resposta.
  • Configure HTTP Strict Transport Security (HSTS). Defina o Max Age para pelo menos 31536000 segundos (1 ano). Isso instrui navegadores a acessarem apenas via HTTPS por um período prolongado.
  • Em OCSP Stapling, ative On. Isso melhora a performance da validação de certificados e a privacidade do usuário.

Essas configurações blindam a infraestrutura contra ataques de downgrade e garantem que a criptografia seja mantida em todas as camadas de comunicação.

Verificação/Teste

Após aplicar todas as configurações, execute testes técnicos para validar a implementação TLS/SSL e identificar falhas antes de liberar o tráfego completo.

Utilize o curl para verificar os cabeçalhos de resposta e o status do handshake:

curl -Iv https://seu-dominio.com 2>&1 | grep -E "SSL|HTTP/|subject|issuer"

Observe a saída para confirmar:

  • SSL connection using TLSv1.3: Indica que o protocolo moderno está ativo.
  • HTTP/2 200: Confirma que o HTTP/2 está funcionando.
  • subject e issuer: Verifique se o certificado é válido e emitido pela CA esperada (Cloudflare Origin CA ou sua CA pública).

Para uma análise profunda da cadeia de certificados e compatibilidade, execute o openssl s_client:

openssl s_client -connect seu-dominio.com:443 -servername seu-dominio.com -tls1_3

Se o comando retornar Verify return code: 0 (ok), a validação da cadeia está correta. Caso contrário, revise o certificado na origem ou o modo SSL configurado. Ferramentas de auditoria online também são úteis para validar a configuração SSL e a presença de cabeçalhos de segurança como HSTS.

Troubleshooting

Problemas de configuração SSL são frequentes durante transições. Abaixo estão os erros mais comuns, suas causas e soluções práticas.

Erro / Sintoma Causa Provável Solução
525 SSL Handshake Failed O Cloudflare não consegue completar o handshake SSL com a origem. Geralmente ocorre quando o servidor de origem não responde na porta 443 ou o certificado está incorreto. Verifique se o firewall da origem permite tráfego das ranges IP do Cloudflare. Confirme se o servidor web está rodando e escutando a porta 443. Teste o certificado localmente.
526 Invalid SSL Certificate O certificado na origem é inválido, autoassinado ou expirado, e o modo está em Full (Strict). Gere um novo certificado no Cloudflare Origin Server e instale-o na origem. Ou mude o modo para Full temporariamente enquanto corrige a origem.
Mixed Content Warnings Páginas carregam recursos (imagens, scripts, CSS) via HTTP não criptografado. Ative Automatic HTTPS Rewrites no Cloudflare. Na origem, force HTTPS em links e recursos. Verifique código fonte e configurações de CMS.
527 Railgun Error Conflito entre a tecnologia de aceleração Railgun e a configuração SSL. Desative o Railgun para domínios que utilizam SSL ou verifique a compatibilidade. O Railgun requer configuração específica para TLS.
Err_SSL_PROTOCOL_ERROR Incompatibilidade de protocolos TLS entre cliente, Cloudflare e origem. Verifique se o Minimum TLS Version não está bloqueando conexões. Confirme se o servidor de origem suporta TLS 1.2 ou superior.

Atenção: Ao alterar modos SSL ou certificados, execute as mudanças em janelas de manutenção ou em estágios para evitar downtime. Monitore os logs de erro do Cloudflare (Security > Events) para detectar falhas de validação em tempo real.

Perguntas frequentes

Posso usar um certificado SSL personalizado na origem?

Sim. Você pode fazer upload de um certificado emitido por uma CA pública (como Let's Encrypt, DigiCert, etc.) através de SSL/TLS > Origin Server > Upload Certificate. Isso é útil para manter a mesma identidade digital ou atender requisitos específicos de compliance. O Cloudflare validará o certificado enviado durante a configuração Full (Strict).

O que é o Certificado Universal do Cloudflare?

Todos os domínios no Cloudflare recebem automaticamente um certificado SSL universal gratuito para o domínio principal e um subdomínio *.seu-dominio.com. Este certificado é gerenciado pelo Cloudflare e se aplica ao tráfego entre o cliente e o perímetro do Cloudflare. Ele não substitui a necessidade de um certificado na origem quando o modo Full (Strict) está ativo.

Como o HTTP/2 impacta a performance do TLS/SSL?

O HTTP/2 permite multiplexação, compressão de cabeçalhos e priorização de fluxos, o que reduz significativamente a latência e o overhead de conexão. Combinado com o TLS 1.3, que elimina rodadas de handshake desnecessárias, a combinação HTTP/2 + TLS 1.3 proporciona a melhor experiência de carga de página e eficiência de criptografia.

Posso desativar o proxy para um subdomínio e manter o SSL?

Sim. Se você desativar o proxy (DNS Only), o Cloudflare ainda oferece SSL, mas a criptografia termina no seu servidor de origem. Você será responsável por gerenciar, renovar e validar o certificado na origem. O Cloudflare atuará apenas como um proxy DNS, sem aplicar regras de WAF ou otimização de SSL. Isso é comum para cargas específicas que requerem bypass da rede do Cloudflare.

O Cloudflare suporta certificados Wildcard?

O Cloudflare fornece certificados Wildcard gratuitamente para todos os planos, cobrindo o domínio principal e todos os subdomínios de primeiro nível. Para subdomínios aninhados (ex: a.b.seu-dominio.com), é necessário configurar certificados adicionais ou usar o Cloudflare Origin CA com SANs expandidas.

Conclusão

A configuração TLS/SSL adequada no Cloudflare é fundamental para proteger dados sensíveis, melhorar o ranking em mecanismos de busca e garantir uma experiência de usuário segura. Ao adotar o modo Full (Strict), gerenciar certificados de origem com o Cloudflare Origin CA e ativar protocolos modernos como HTTP/2 e TLS 1.3, você estabelece uma defesa robusta contra interceptações e downgrades. A validação rigorosa e o hardening com HSTS e OCSP Stapling completam um ambiente de criptografia confiável e performático.

Implementar essas práticas técnicas exige atenção aos detalhes e monitoramento contínuo, mas o resultado é uma infraestrutura web preparada para os desafios atuais de segurança. Domínio a configuração TLS/SSL e mantenha seu ambiente seguro, estável e alinhado às melhores normas do mercado.

Para aproveitar toda a capacidade da sua configuração SSL e garantir infraestrutura de alta performance, experimente hospedagem cloud na Toda Solução. Oferecemos ambientes otimizados para integração com CDN e segurança avançada, permitindo que você foque no que realmente importa: o crescimento do seu projeto.

Compartilhar: Link copiado!
Tags:
Esse tutorial foi útil?

Comentários (0)

Seja o primeiro a comentar.

Deixe seu comentário

Seu comentário será analisado antes de ser publicado.

0/2000
Voltar para Tutoriais