Let’s Encrypt y Cloudflare proporcionan SSL gratuito, pero funcionan de manera fundamentalmente diferente. Let’s Encrypt te da un certificado que posees y controlas. Cloudflare gestiona SSL como parte de su proxy CDN: tus visitantes se conectan a Cloudflare, no directamente a tu servidor.
Comparativa rápida
| Let’s Encrypt | Cloudflare SSL | |
|---|---|---|
| Lo que obtienes | Archivos de certificado para instalar en cualquier lugar | SSL gestionado por el proxy de Cloudflare |
| Propiedad del certificado | Tú lo posees | Cloudflare lo posee |
| Ubicación de la clave privada | Tu servidor (o navegador con GetHTTPS) | Servidores edge de Cloudflare |
| Funciona sin Cloudflare | ✅ | ❌ |
| La conexión del visitante termina en | Tu servidor | El edge de Cloudflare |
| Cloudflare puede leer el tráfico | No | ⚠️ Sí (por diseño) |
| Validez del certificado | 90 días (tú lo gestionas) | Auto-gestionado |
| Comodín | ✅ (DNS-01) | ✅ |
| Servicios no web (email, APIs) | ✅ | ❌ (solo proxy HTTP/HTTPS) |
| Cifrado origen-a-edge | N/A (directo) | Debes configurar «Full (Strict)» |
| Complejidad de configuración | Media (se necesita cliente ACME) | Baja (cambio DNS) |
| Dependencia del proveedor | Ninguna | Dejar = perder SSL |
Cómo difieren
Let’s Encrypt: tú posees el certificado
Visitante ←──HTTPS──→ Tu servidor
(tu certificado, tu clave privada)Tu servidor termina la conexión TLS. Controlas la clave privada, el certificado y toda la cadena. El certificado funciona en cualquier lugar: Nginx, Apache, Node.js, servidores de correo, balanceadores de carga, dispositivos IoT.
Cloudflare: modelo proxy
Visitante ←──HTTPS──→ Edge de Cloudflare ←──???──→ Tu servidor
(certificado de Cloudflare) (puede ser HTTP)Cloudflare se sitúa entre los visitantes y tu servidor. Las conexiones cifradas de los visitantes terminan en el edge de Cloudflare. Cloudflare luego hace una conexión separada a tu servidor de origen, que puede o no estar cifrada según tu configuración.
Modo «Full (Strict)» — Cloudflare verifica que tu origen tiene un certificado válido (recomendado) Modo «Full» — Cloudflare se conecta a tu origen con HTTPS pero no verifica el certificado Modo «Flexible» — ⚠️ Cloudflare se conecta a tu origen por HTTP sin cifrar
En modo «Flexible», la conexión entre Cloudflare y tu servidor no está cifrada; cualquiera en esa ruta de red puede leer el tráfico.
Cuándo usar Let’s Encrypt
- Quieres cifrado de extremo a extremo que tú controlas
- Servicios no web — servidores de correo (SMTP/IMAP), APIs que no están detrás de un CDN, conexiones a bases de datos
- Sensible a la privacidad — no quieres que un tercero vea tu tráfico en texto plano
- Multi-CDN o sin CDN — el certificado funciona independientemente del proveedor CDN
- Sin dependencia del proveedor — cambia de hosting, CDN o arquitectura sin perder SSL
Cuándo usar Cloudflare
- Ya usas Cloudflare para CDN, protección DDoS o DNS
- Quieres cero gestión de certificados — Cloudflare se encarga de todo
- Estás en hosting compartido que no puede instalar certificados
- La protección DDoS es la prioridad — el proxy de Cloudflare absorbe ataques
Lo mejor de ambos mundos
Muchas configuraciones de producción usan ambos:
- Cloudflare como CDN/proxy (los visitantes se conectan a Cloudflare)
- Let’s Encrypt en el servidor de origen (Cloudflare se conecta a tu servidor con un certificado real)
- Configurar Cloudflare en modo «Full (Strict)»
Esto te da los beneficios del CDN de Cloudflare más cifrado de extremo a extremo verificado. Usa GetHTTPS para obtener el certificado de origen.
Escenarios de migración
Pasar de Cloudflare a HTTPS directo
Si quieres dejar de usar el proxy de Cloudflare:
- Obtén un certificado de Let’s Encrypt para tu dominio
- Instálalo en tu servidor (Nginx, Apache)
- En el DNS de Cloudflare, cambia tus registros A/AAAA de «Proxied» (nube naranja) a «DNS only» (nube gris)
- El tráfico ahora va directamente a tu servidor con tu propio certificado
Pasar de HTTPS directo a Cloudflare
Si estás añadiendo Cloudflare a un sitio HTTPS existente:
- Añade tu dominio a Cloudflare
- Actualiza tus nameservers
- Cloudflare aprovisiona automáticamente Universal SSL
- Configura el modo SSL en «Full (Strict)» (ya tienes un certificado válido en el origen)
Mantén tu certificado existente de Let’s Encrypt: sirve como certificado de origen para el modo Full (Strict).
Preguntas frecuentes
¿Cloudflare proporciona un certificado SSL «real»?
Cloudflare emite un certificado real y confiable para los navegadores para tu dominio, pero vive en la infraestructura de Cloudflare, no en la tuya. No puedes descargarlo ni usarlo en otro lugar. Si dejas de usar Cloudflare, el certificado desaparece. Para un certificado portable que poseas, usa Let’s Encrypt.
¿El SSL de Cloudflare es gratuito?
Sí, en el plan gratuito. Cloudflare lo llama «Universal SSL» y cubre tu dominio y subdominios automáticamente. Sin embargo, no estás pagando por el certificado: estás aceptando el modelo proxy y que Cloudflare vea todo el tráfico.
¿Puedo usar ambos al mismo tiempo?
Sí, y deberías si usas Cloudflare. Instala un certificado de Let’s Encrypt en tu servidor de origen y configura Cloudflare en modo «Full (Strict)». Esto asegura que la conexión origen-a-edge también esté cifrada y verificada. Guía completa de configuración →
¿Cloudflare lee mi tráfico?
Por diseño, sí. Cloudflare termina TLS en su edge: el tráfico se descifra allí para caché, inspección WAF y filtrado DDoS, luego se vuelve a cifrar hacia tu origen. Así funciona cualquier proxy inverso. Si esto es inaceptable para tu caso de uso (requisitos legales, de cumplimiento o privacidad), usa HTTPS directo con Let’s Encrypt.
¿Qué pasa con los «Origin Certificates» de Cloudflare?
Cloudflare ofrece certificados Origin CA: certificados gratuitos confiables solo por Cloudflare (no directamente por los navegadores). Son válidos hasta 15 años y eliminan la molestia de la renovación para la conexión de origen. Pero solo funcionan mientras permanezcas en Cloudflare.