Amazon CloudFront es una red de entrega de contenido segura y programable. Algunas de las características de seguridad de CloudFront incluyen el cifrado a nivel de campo y la protección contra ataques DDoS en la capa de red y de aplicación.

Solicitar un Certificado SSL Personalizado

Parte de la configuración de tu distribución de Cloudfront comprende la aplicación de un certificado SSL personalizado. Debido a que esto puede tardar en completarse desde unos minutos hasta varias horas, recomendamos solicitar el certificado SSL personalizado antes de iniciar el proceso de creación de una nueva distribución.

Si aún no tienes una cuenta de AWS, puedes crear una aquí. Una vez que hayas accedido a tu cuenta de AWS, busca «gestor de certificados» mediante el cuadro de búsqueda de la barra de menús, y haz clic en Gestor de Certificados bajo Servicios.

Haz clic en Administrador de Certificados bajo Servicios en tu cuenta de CloudFront.
Haz clic en Administrador de Certificados bajo Servicios en tu cuenta de CloudFront.

En el Administrador de Certificados, haz clic en el botón Solicitar un certificado.

Haz clic en el botón Solicitar un certificado en AWS Certificate Manager.
Haz clic en el botón Solicitar un certificado en el Administrador de Certificados de AWS.

En la siguiente página, selecciona Solicitar un certificado público y haz clic en el botón Solicitar un certificado.

Selecciona Solicitar un certificado público y haz clic en el botón Solicitar un certificado
Selecciona Solicitar un certificado público y haz clic en el botón Solicitar un certificado

Añadir Nombres de Dominio

En el formulario de Solicitud de un certificado, añade tu dominio personalizado (el dominio principal de tu sitio en Kinsta) a la lista de nombres de dominio (si vas a añadir un dominio root, asegúrate de añadir tanto el dominio no www como el www o añade el dominio wildcard como *.ejemplo.com), y haz clic en Siguiente.

Añade tu dominio personalizado a la solicitud de certificado SSL en AWS Certificate Manager.
Añade tu dominio personalizado a la solicitud de certificado SSL en el Administrador de Certificados de AWS

Validación del Dominio

En la siguiente pantalla, elegirás la validación por correo electrónico o por DNS para tu certificado SSL. Elige la opción que más te convenga.

Si el registro de tu dominio no tiene una protección de privacidad que oculte tu información de contacto de las búsquedas de WHOIS, o si el correo electrónico enviado a la dirección de correo electrónico proxy se reenvía a tu dirección de correo electrónico real, puedes utilizar el método de validación de correo electrónico para validar tu solicitud de certificado.

Si no puedes recibir correos electrónicos en la dirección de correo electrónico que aparece en las búsquedas de WHOIS, tendrás que utilizar el método de validación de DNS.

Validación de Correo Electrónico

Selecciona Validación por correo electrónico y haz clic en el botón Siguiente para iniciar la validación por correo electrónico.

Iniciar la validación del correo electrónico para el certificado AWS SSL
Iniciar la validación del correo electrónico para el certificado AWS SSL

Recibirás hasta 8 correos electrónicos por cada dominio que hayas añadido al certificado, y tendrás que actuar al menos sobre un correo electrónico de cada dominio para completar la validación.

Validación DNS

Para utilizar este método, selecciona el método de validación DNS y haz clic en el botón Siguiente.

Acm-dns-validation-selected
Validación DNS del Administrador de Certificados de Amazon para el certificado SSL

En la página Añadir etiquetas, no dudes en añadir algunas etiquetas opcionales si es necesario, y haz clic en Revisar para pasar al siguiente paso.

Revisar la solicitud de certificado SSL.
Revisar la solicitud de certificado SSL

En la página de Revisión, haz clic en el botón Confirmar y solicitar para pasar al paso de validación.

Confirma la solicitud de certificado SSL.
Confirma la solicitud de certificado SSL.

En la siguiente página, haz clic en el icono de la flecha junto a tu nombre de dominio personalizado para ver los detalles del CNAME para la validación. Tendrás que crear un registro CNAME para tu dominio personalizado con estos detalles.

Detalles del registro CNAME para la validación del dominio
Detalles del registro CNAME para la validación del dominio

Para añadir este nuevo registro CNAME, entra en el lugar donde gestionas las DNS de tu dominio. Para este ejemplo, te mostraremos cómo añadir el registro CNAME en el DNS de Kinsta. Si tienes un proveedor de DNS diferente (puede ser tu registrador u otro host de DNS, dependiendo de dónde hayas apuntado los servidores de nombres de tu dominio), los pasos pueden ser un poco diferentes.

  1. Haz clic en DNS en la barra de navegación lateral izquierda de MyKinsta.
  2. Haz clic en el enlace Gestionar del dominio al que quieres añadir un registro DNS.
  3. Haz clic en el botón Añadir un registro DNS.
  4. Haz clic en la pestaña CNAME y añade el Nombre de host (todo lo que precede a tu dominio personalizado en el campo Nombre de CloudFront) y Apuntar a (Valor de CloudFront). Haz clic en el botón Añadir registro DNS para guardar tu nuevo registro CNAME.

Nota: Dependiendo de la configuración del TTL de tu registro DNS, el registro DNS puede tardar desde unos minutos hasta horas en propagarse.

Añade un registro CNAME para la validación de AWS SSL
Añade un registro CNAME para la validación de AWS SSL

Vuelve a la página de validación de CloudFront y haz clic en Continuar.

Continúa con la validación de DNS.
Continúa con la validación de DNS.

Una vez que el registro CNAME se propague y haya sido validado, el estado del certificado SSL cambiará de Pendiente a Emitido.

Certificado SSL emitido en Amazon Certificate Manager.
Certificado SSL emitido en Amazon Certificate Manager.

Tu nuevo certificado SSL está listo para ser utilizado con tu nueva distribución de CloudFront, y puedes empezar a configurarlo ahora.

Configurar e Implementar la Zona de CloudFront

El siguiente paso es configurar e implementar una zona de CloudFront. En tu cuenta de AWS, busca «CloudFront» mediante el cuadro de búsqueda de la barra de menús, y haz clic en CloudFront en Servicios.

Selecciona CloudFront bajo Servicios en AWS.
Selecciona CloudFront bajo Servicios en AWS.

A continuación, haz clic en Crear una distribución de CloudFront.

Crea una distribución de CloudFront.
Crea una distribución de CloudFront.

Puedes configurar los detalles de una nueva zona de CloudFront en la página Crear distribución. Recomendamos la siguiente configuración para obtener la máxima compatibilidad con la integración de Cloudflare de Kinsta.

Origen

Configuración de Origen recomendada:

  • Dominio de Origen: El dominio kinsta.cloud de tu sitio (en nuestro ejemplo: myawewsomesite.kinsta.cloud). CloudFront no acepta una dirección IP como origen, por lo que debes utilizar el dominio kinsta.cloud de tu sitio en este campo.
    Una vez que hayas introducido tu dominio de origen, aparecerán los 3 campos siguientes:
    • Protocolo: Sólo HTTPS
    • Puerto HTTPS: 443
    • Protocolo SSL de origen mínimo: TLSv1
  • Ruta de origen: Déjalo en blanco.
  • Nombre (opcional): Aquí puedes introducir un nombre personalizado para el origen, pero no es obligatorio.
  • Habilitar el Escudo de Origen: No.
Configuración Origin recomendada para la distribución de CloudFront
Configuración Origin recomendada para la distribución de CloudFront

Comportamiento de la Caché por Defecto

Al configurar los ajustes del comportamiento de la caché, tendrás que crear dos políticas de CloudFront: la política de caché y la política de solicitud, que te indicamos a continuación.

Ajustes recomendados para la sección Comportamiento Predeterminado de la Caché:

  • Patrón de ruta: Por defecto.
  • Comprimir objetos automáticamente: Sí.
  • Política de protocolo del visor: Redirigir HTTP a HTTPS.
  • Métodos HTTP permitidos: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE.
  • Restringir el acceso del visor: No.
  • Clave de caché y solicitudes de origen: Política de caché y política de peticiones de origen.
    • Política de caché: Selecciona tu nueva política de caché personalizada (ver los pasos para crearla más abajo).
    • Política de solicitud de origen: Selecciona tu nueva política de solicitud de origen personalizada (ver los pasos para crearla más abajo).
Configuración recomendada del comportamiento de la caché para la distribución de CloudFront.
Configuración recomendada del comportamiento de la caché para la distribución de CloudFront.

Cómo Crear una Política de Caché de CloudFront

En la sección Política de caché, haz clic en Crear política. Esto lanzará la página de creación de la política de caché en una nueva pestaña de tu navegador.

Crear una política de caché en CloudFront
Crear una política de caché en CloudFront

En la sección Detalles, especifica un nombre (por ejemplo, KinstaCachePolicy) para la política de caché.

En la sección Configuración del TTL, utiliza la siguiente configuración:

  • TTL mínimo: 0
  • TTL máximo: 31536000
  • TTL por defecto: 86400

En la sección Configuración de la clave de la caché, utiliza los siguientes ajustes:

  • Cabeceras: Ninguna
  • Cadenas de consulta: Todas
  • Cookies: Todas

En la sección Soporte de compresión, marca Gzip y Brotli, y luego pulsa el botón Crear.

Configuración de la política de caché recomendada en CloudFront
Configuración de la política de caché recomendada en CloudFront

Cierra esta pestaña del navegador y vuelve a la pestaña donde estás creando tu nueva distribución de CloudFront.

Haz clic en el botón de actualización junto al desplegable de la Política de caché y selecciona tu nueva política de caché personalizada en el desplegable.

Selecciona tu política de caché personalizada
Selecciona tu política de caché personalizada

Cómo Crear una Política de Solicitud de Origen de CloudFront

En la sección Política de solicitud de origen, haz clic en Crear política. Esto lanzará la página Crear política de solicitud de origen en una nueva pestaña de tu navegador.

Crear una política de solicitud de origen en CloudFront
Crear una política de solicitud de origen en CloudFront

En la sección Detalles, especifica un nombre (por ejemplo, KinstaOriginPolicy) para la política de solicitud de origen.

En la sección Configuración de la solicitud de origen, selecciona lo siguiente:

  • Encabezados: Todas las cabeceras del visor
  • Cadenas de consulta: Todas
  • Cookies: Todas

Haz clic en el botón Crear para finalizar la política de solicitud.

Configuración de la política de solicitud de CloudFront Origin.
Configuración de la política de solicitud de CloudFront Origin.

Cierra esta pestaña del navegador y vuelve a la pestaña donde estás creando tu nueva distribución de CloudFront.

Haz clic en el botón de actualización junto al desplegable Política de solicitud de origen y selecciona tu nueva política de solicitud de origen personalizada en el desplegable.

Selecciona tu política de solicitud de origen personalizada en el desplegable Política.
Selecciona tu política de solicitud de origen personalizada en el desplegable Política de solicitud de origen

Asociaciones de Funciones

Te recomendamos que no establezcas ninguna Asociación de Funciones. Éstas te permiten asignar funciones sin servidor de AWS Lambda a diferentes activadores dentro del ciclo de vida de la solicitud (por ejemplo, solicitud de espectador, respuesta de espectador, solicitud de origen, etc.).

Aunque es posible utilizar asociaciones de funciones con Kinsta CDN, puede haber algunos escenarios en los que una función Lambda puede entrar en conflicto con Kinsta CDN. Si quieres utilizar funciones Lambda personalizadas en tu sitio, te recomendamos que trabajes con un desarrollador para solucionar los problemas que puedan surgir.

Configuración

Configuración recomendada para la sección de Ajustes:

  • Clase de precio: Selecciona las regiones de CloudFront que quieras utilizar con tu sitio.
  • ACL web de AWS WAF: Si necesitas crear una ACL con reglas de firewall personalizadas, te recomendamos que trabajes con un experto de AWS para evitar conflictos con Kinsta CDN.
  • Nombre de dominio alternativo: Haz clic en Añadir elemento y especifica el dominio personalizado (el dominio principal de tu sitio en Kinsta).
  • Certificado SSL personalizado: Selecciona el certificado SSL personalizado que creaste al principio de este tutorial.
    Verás algunas opciones adicionales después de seleccionar el certificado SSL personalizado:
    • Soporte de clientes heredados: Deja esta opción sin marcar/desactivar.
    • Política de seguridad: TLSv1.2_2021
  • Versiones HTTP soportadas: HTTP/2
  • Registro estándar: Desactivado
  • IPv6: Activado
Guarda la configuración de distribución para crear tu nueva zona de CloudFront
Guarda la configuración de distribución para crear tu nueva zona de CloudFront

Haz clic en el botón Crear distribución para terminar de crear tu nueva zona de CloudFront.

Solución de Problemas Comunes de CloudFront

Errores 502

Si ves errores 502 en tu sitio después de crear tu distribución de CloudFront, vuelve a comprobar el Dominio de Origen en tu Configuración de Origen. Tiene que ser el dominio kinsta.cloud de tu sitio, no tu dominio real.

Los Cambios No Aparecen en tu Sitio

La configuración de tu sitio para usar CloudFront crea una capa adicional de caché que tendrá que ser limpiada cada vez que necesites limpiar la caché. Si tienes problemas para ver los cambios en tu sitio o un plugin no se comporta como se espera después de instalarlo o reinstalarlo, asegúrate de borrar la caché en todas las capas, incluyendo:

  1. Plugins (si procede)
  2. Temas (si procede)
  3. Caché del sitio/servidor en Kinsta (desde MyKinsta o el plugin Kinsta MU)
  4. Caché en CloudFront (hazlo invalidando objetos. Si utilizas /* para la ruta del objeto a invalidar, se borrará toda la caché)
  5. Caché del navegador

Dirección IP bloqueada por Falso Positivo

Si tienes habilitada la mitigación de DDoS o la detección de bots en CloudFront y tú o un visitante del sitio estáis siendo bloqueados incorrectamente para ver tu sitio, esto puede deberse a un falso positivo. Si esto ocurre, tendrás que trabajar tanto con el soporte de Kinsta como con de AWS para determinar dónde se está produciendo el bloqueo.

Bucles de Redirección HTTP-HTTPS

Si se producen bucles de redirección de HTTP a HTTPS, asegúrate de que el Protocolo está configurado como Sólo HTTPS en la configuración del Origen de CloudFront para tu dominio.

Las Redirecciones de Geolocalización IP No Funcionan Correctamente

La caché de página, que está habilitada por defecto en CloudFront, puede interferir con las redirecciones de geolocalización de IP que configures en Kinsta. Si esto ocurre, tendrás que deshabilitar el almacenamiento en caché en CloudFront o configurar tu política de caché para que sólo almacene en caché los archivos que no son específicos de una ubicación. Si tienes problemas para configurar esto, te recomendamos que trabajes con un desarrollador para configurar tu política de caché personalizada.

No se puede Acceder al Panel de Control de WordPress

El inicio de sesión no funcionará sin soporte POST. Otras funcionalidades del sitio web también pueden verse afectadas. Asegúrate de que los métodos HTTP permitidos en Comportamiento predeterminado de la caché están configurados como GET, HEAD, OPTIONS, PUT, POST, PATCH, y DELETE.

Configuración Avanzada y Compatibilidad

Restringir el Acceso de los Visitantes con URLs y Cookies Firmadas

Algunas opciones, como la de restringir el acceso a archivos en orígenes personalizados, pueden no funcionar porque Cloudflare siempre guardará en caché las peticiones estáticas.