1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Resolver un problema Let's Encrypt y Cloudflare
Esta guía explica cómo resolver un problema de instalación de certificado Let's Encrypt si usa Cloudflare con reglas de seguridad estrictas, especialmente aquellas que filtran por país o por dirección IP.
Ajustar la configuración SSL / geobloqueo
Cuando proteges un sitio web con Cloudflare y, al mismo tiempo, deseas obtener un certificado SSL gratuito de Let's Encrypt a través de Infomaniak, pueden surgir conflictos técnicos. Estos problemas suelen originarse en la forma en que Cloudflare maneja la seguridad y las conexiones de red.
Let's Encrypt necesita verificar que eres el propietario del nombre de dominio para el cual solicitas un certificado. Para ello, envía lo que se llama un «desafío»: una solicitud HTTP específica a tu sitio, en una dirección del tipo http://domain.xyz/.well-known/acme-challenge/.... Si esta verificación falla, el certificado no puede ser emitido o renovado.
El problema es que algunas protecciones activadas en Cloudflare pueden bloquear estas verificaciones:
- Reglas de seguridad (WAF), por ejemplo, si bloqueas ciertas regiones del mundo (como los Estados Unidos o Suiza).
- Reglas personalizadas, como el filtrado de direcciones IP.
- El bloqueo geográfico (geoblocking), que impide que ciertos países accedan a tu sitio.
Por lo tanto, Let's Encrypt ya no verifica solo desde un lugar. Desde hace algún tiempo (y más aún desde marzo de 2024), realiza sus verificaciones desde varios países al mismo tiempo, incluidos nuevos como Suecia o Singapur. Resultado: si uno de estos países está bloqueado por sus configuraciones de Cloudflare, la solicitud del certificado puede fallar, incluso si todo lo demás está configurado correctamente.
Peor aún: incluso si intentas hacer una excepción solo para la dirección del desafío (.well-known/acme-challenge), esto no siempre funciona con ciertas reglas de Cloudflare. De hecho, las reglas de bloqueo por país o por IP se aplican antes de cualquier excepción basada en rutas de URL.
Ajustar el modo SSL/TLS en Cloudflare
Cloudflare ofrece diferentes niveles de cifrado SSL. Si tienes un problema con el certificado Let's Encrypt, cambia al modo "Full" o "Full (strict)" en lugar de "Strict solo". Estos modos permiten usar un certificado autofirmado o expirado temporalmente, mientras se renueva el certificado real.
Utilizar reglas personalizadas (usuarios avanzados)
Se recomienda no utilizar "IP Access Rules" que no se puedan sortear, sino establecer "Custom rules" con geoip o cualquier otra regla deseada, y sobre todo permitiendo el path "/.well-known/acme-challenge/" sin restricciones de acceso para que los desafíos de Let's Encrypt pasen a pesar de la restricción en vigor.
Desactivar temporalmente el bloqueo geográfico
Si bloqueas el acceso a tu sitio desde ciertos países (por ejemplo, para evitar ataques), considera levantar esta restricción temporalmente mientras Let's Encrypt realiza su verificación. Una vez que el certificado se haya emitido o renovado, puedes reactivar las protecciones.