Você instalou o certificado no seu servidor, configurou o Nginx e, mesmo assim, o navegador exibe “Sua conexão não é privada”. A frustração é imediata: você fez tudo certo, mas a segurança falhou. A causa raiz, em mais de 90% dos casos com Cloudflare, não é um erro de configuração do seu servidor web, mas sim uma incompatibilidade entre o modo de criptografia escolhido na plataforma e a forma como seu origin responde às requisições. Sem entender essa dinâmica, você abre brechas de segurança ou cria loops infinitos de redirecionamento.
Muitos administradores de sistemas e desenvolvedores web cometem o erro clássico de manter o SSL/TLS da Cloudflare no modo “Off” ou “Flexible”, achando que a criptografia já está garantida. Essa é uma falsa sensação de segurança. Quando você usa o modo Flexible, a conexão entre o usuário e a nuvem é segura, mas a comunicação entre a Cloudflare e o seu servidor (o origin) trafega em texto puro. Isso expõe seus dados sensíveis a ataques de “man-in-the-middle” caso seu servidor não esteja perfeitamente isolado ou se houver qualquer falha na rede intermediária.
A solução definitiva para garantir uma segurança de ponta a ponta envolve dois pilares: configurar o modo Full Strict na dashboard da Cloudflare e, crucialmente, provisionar um certificado TLS válido no seu próprio servidor. Sem esse certificado no origin, a validação do modo Strict falhará, impedindo que seu site carregue. Neste guia técnico, vamos detalhar exatamente como corrigir essa arquitetura para garantir conformidade com padrões modernos de segurança e performance.
O problema do modo Off e a criptografia
Antes de mergulhar na configuração técnica, é fundamental compreender o fluxo de dados. A Cloudflare atua como um proxy reverso. Todo tráfego passa por ela antes de chegar ao seu servidor. Quando o modo SSL/TLS está definido como “Off”, a Cloudflare não tenta criptografar a conexão com o origin. Ela assume que o servidor backend não possui certificado e, portanto, abre o túnel em HTTP.
Isso cria uma vulnerabilidade crítica. Se o seu site lida com dados de login, pagamentos ou informações pessoais, essa lacuna é inaceitável. Além disso, navegadores modernos como Chrome e Firefox marcam sites que não usam HTTPS completo como “Não Seguro”, o que afeta diretamente a confiança do usuário e o SEO.
Muitos servidores na nuvem, especialmente VPSs básicos ou máquinas virtuais antigas, vêm sem certificados SSL pré-instalados. O administrador, buscando agilidade, configura a Cloudflare para aceitar apenas HTTP do origin. Embora funcione funcionalmente, tecnicamente é uma falha de arquitetura. A migração para um modo seguro exige que o servidor origin seja preparado para receber conexões TLS.
Entendendo os modos: Full, Full Strict e Flexible
A Cloudflare oferece três opções principais de SSL/TLS. Escolher a errada é a causa número um de erros 522 (Timeout) e 525 (SSL Handshake Failed). Vamos analisar cada uma:
- Flexible: A conexão do usuário para a Cloudflare é HTTPS, mas da Cloudflare para o servidor é HTTP. É útil apenas se você não puder instalar um certificado no seu servidor. Não recomendado para produção crítica.
- Full: A conexão entre o usuário e a Cloudflare é HTTPS, e entre a Cloudflare e o servidor também é HTTPS. Porém, ela aceita certificados autoassinados ou expirados no origin. Isso resolve o problema de texto puro, mas não valida a identidade do seu servidor.
- Full Strict: O padrão ouro. A conexão é HTTPS em ambos os lados, e a Cloudflare verifica se o certificado do origin é válido, emitido por uma autoridade confiável e corresponde ao domínio. É aqui que a segurança real começa.
A tabela abaixo resume as diferenças técnicas para facilitar a decisão:
| Modo | Usuário ← Cloudflare | Cloudflare → Origin | Validação do Certificado |
|---|---|---|---|
| Flexible | HTTPS | HTTP | N/A |
| Full | HTTPS | HTTPS | Não (Aceita inválidos) |
| Full Strict | HTTPS | HTTPS | Sim (Exigido) |
Para atingir o nível máximo de proteção, o objetivo é migrar para o Full Strict. Isso garante que os dados sejam criptografados em trânsito e que a integridade do seu servidor seja verificada pela rede da Cloudflare.
Por que o certificado origin é obrigatório no Full Strict
O modo Full Strict impõe uma verificação rigorosa. Quando um usuário acessa seu site, a Cloudflare estabelece uma conexão TLS com seu servidor. Se o servidor apresentar um certificado autoassinado (self-signed), expirado ou sem o nome do domínio correto no campo CN/SAN, a conexão é recusada imediatamente.
A razão técnica é simples: a Cloudflare precisa confiar que está se comunicando com o dono legítimo do domínio. Certificados autoassinados não são emitidos por uma Autoridade Certificadora (CA) reconhecida, portanto, não oferecem garantia de identidade. Ao exigir um certificado válido, você elimina o risco de ataques de spoofing e garante que a criptografia seja robusta.
Portanto, a configuração do SSL/TLS na Cloudflare não é uma etapa isolada. Ela depende diretamente da infraestrutura do seu servidor web (Nginx, Apache, IIS). Você precisa ter um certificado digital válido instalado no seu origin antes de ativar o Full Strict. Caso contrário, seu site ficará fora do ar.
Passo a passo: Configurando para Full Strict
Agora que entendemos a teoria, vamos à prática. Esta seção detalha as etapas necessárias para configurar um certificado origin e habilitar o Full Strict. Este processo deve ser feito em duas frentes: no seu servidor e na dashboard da Cloudflare.
1. Obtenção do Certificado no Origin
Você tem duas opções principais para obter um certificado válido:
- Certificados Let’s Encrypt (Recomendado): Gratuitos, automatizados e amplamente aceitos. Use ferramentas como Certbot para gerar os certificados. Você precisará dos arquivos de chave privada (.key) e do certificado completo (.crt ou .pem).
- Certificados Pagos: Se sua empresa já possui uma infraestrutura PKI interna ou compra certificados comerciais, utilize esses arquivos.
Instale os arquivos no diretório correto do seu servidor web. Por exemplo, no Nginx, você deve apontar as diretivas ssl_certificate e ssl_certificate_key para os caminhos corretos dos arquivos.
2. Instalação na Plataforma de Hospedagem
Depois de ter os certificados instalados no servidor, teste a conectividade localmente. Acesse https://seu-dominio.com diretamente pelo IP do servidor (se possível) ou verifique se o Nginx/Apache está respondendo corretamente sem erros nos logs. Se o servidor web não iniciar por falta de permissão nos arquivos de chave, corrija isso antes de prosseguir.
3. Ativação na Cloudflare
Com o origin pronto, vá até a dashboard da Cloudflare:
- Navegue até a aba SSL/TLS.
- Selecione Overview.
- Em Encryption mode, mude de “Flexible” ou “Full” para Full Strict.
Aguarde alguns segundos. A Cloudflare começará a validar o certificado do seu servidor. Se tudo estiver correto, o status será “Active”. Se falhar, verifique os logs do seu servidor web para identificar erros de handshake.
Dicas pro para evitar erros comuns
A transição para o Full Strict pode ser delicada. Abaixo estão armadilhas frequentes e como evitá-las:
- Certificados Autoassinados: Nunca tente usar certificados self-signed com o Full Strict. A Cloudflare rejeitará a conexão por segurança. Use Let’s Encrypt para automação.
- Renovação Automática: Configure scripts de renovação automática (como cronjobs para Certbot) para evitar que o certificado expire. Uma expiração causará uma queda imediata no Full Strict.
- Subdomínios: Se você usa subdomínios, certifique-se de que eles também possuem certificados válidos. O Full Strict valida todos os domínios apontados para a Cloudflare.
- Logs do Servidor: Ative o log detalhado do seu servidor web durante a configuração. Mensagens como “SSL_do_handshake() failed” indicam problemas de compatibilidade de protocolos ou certificados inválidos.
Atenção: Ao mudar para o Full Strict, certifique-se de que seu firewall (iptables, UFW, Security Groups) permita conexões HTTPS (porta 443) vindas da Cloudflare. Bloqueios na porta 443 são uma causa comum de falhas após a configuração.
Perguntas frequentes
O que acontece se eu ativar o Full Strict sem certificado no servidor?
A Cloudflare não conseguirá estabelecer uma conexão TLS segura com seu origin. Isso resultará em erros 525 (SSL Handshake Failed) para todos os usuários, tornando seu site inacessível até que um certificado válido seja instalado e configurado corretamente.
Posso usar certificados autoassinados com o modo Full?
Sim. O modo “Full” não valida a autoridade emissora do certificado. Ele apenas garante que a conexão é criptografada. No entanto, isso não protege contra ataques de intermediário que possam interceptar a comunicação se o certificado for comprometido ou se houver falhas na implementação TLS.
A Cloudflare oferece certificados para o meu servidor origin?
Não diretamente como uma instalação automática no seu servidor. A Cloudflare fornece certificados para o domínio principal e subdomínios que passam pelo proxy dela (Universal SSL). Para o Full Strict, você precisa provisionar um certificado independente no seu servidor de origem, embora a Cloudflare tenha parcerias e facilidades para integração com Let’s Encrypt.
Como verificar se meu certificado está válido antes de mudar o modo?
Você pode usar ferramentas online como o SSL Labs (Qualys) ou comandos CLI como openssl s_client conectando-se ao seu servidor. Verifique também se o nome do domínio no certificado corresponde exatamente ao domínio que você está configurando na Cloudflare.
O Full Strict impacta a performance do meu site?
O impacto é mínimo e geralmente positivo. A validação do certificado ocorre uma vez por sessão. Além disso, ao forçar o uso de TLS moderno no origin, você garante que protocolos antigos e inseguros (como SSLv3 ou TLS 1.0) não sejam utilizados, o que pode melhorar a eficiência geral da conexão.
Conclusão
A configuração de um certificado origin válido é o passo final para fechar o ciclo de segurança em ambientes que utilizam CDNs como a Cloudflare. Migrar para o modo Full Strict não é apenas uma mudança técnica, mas um compromisso com a integridade dos dados dos seus usuários e a reputação da sua infraestrutura. Ao eliminar as brechas de comunicação HTTP entre a nuvem e o servidor, você garante que a criptografia seja real em todo o trajeto.
Lembre-se: a segurança é um processo contínuo. Monitore a expiração dos seus certificados, mantenha suas ferramentas de geração atualizadas e audite regularmente as configurações de TLS. Não deixe para resolver isso na emergência; prepare seu servidor hoje para garantir a estabilidade amanhã.
A infraestrutura da Toda Solução é otimizada para suportar esses padrões rigorosos de segurança. Nossos ambientes em nuvem e VPSs são preparados com as melhores práticas de hardening, facilitando a integração com certificados modernos e garantindo que sua aplicação esteja sempre pronta para operar no modo Full Strict sem complicações.