Cloudflare, uno de los principales proveedores de servicios de internet a nivel mundial, ha anunciado un cambio inmediato en su plataforma API: a partir de ahora, solo se permitirán conexiones cifradas mediante HTTPS, quedando completamente bloqueadas las peticiones a través de HTTP. La compañía ha tomado esta medida con el objetivo de reforzar la seguridad y evitar la transmisión accidental de credenciales por canales inseguros.
La decisión, que afecta exclusivamente a la plataforma api.cloudflare.com, marca un antes y un después para desarrolladores, scripts, bots y herramientas que aún operaban bajo conexiones HTTP. Desde este momento, cualquier intento de conexión a través de HTTP no obtendrá respuesta. Cloudflare no redirigirá las solicitudes a HTTPS, ni enviará un código 403 Forbidden; el puerto 80 simplemente dejará de aceptar datos, impidiendo el establecimiento de conexiones.
Hasta ahora, la plataforma permitía solicitudes HTTP y las redirigía automáticamente a HTTPS. No obstante, la compañía ha concluido que este mecanismo no era suficientemente seguro y ha decidido eliminar por completo la compatibilidad con HTTP para evitar posibles vulnerabilidades.
La medida impacta directamente a los desarrolladores que utilizan la API de Cloudflare para gestionar configuraciones de DNS, activar o desactivar funciones, o añadir y modificar nombres de dominio. Todos ellos deberán asegurarse de que sus herramientas, scripts y procesos automatizados empleen exclusivamente conexiones HTTPS.
Cloudflare ha detectado que, pese a la evolución hacia protocolos seguros, alrededor del 2,4 % del tráfico en su plataforma aún se realiza a través de HTTP. En el caso del tráfico automatizado, este porcentaje asciende al 17 %. Esta cifra refleja la persistencia de sistemas heredados, dispositivos IoT, automatizaciones y clientes que aún no se han adaptado al cifrado obligatorio.
Para mitigar los problemas que puedan derivarse de configuraciones inadecuadas o sistemas antiguos, Cloudflare ha anunciado que antes de que finalice el año ofrecerá una opción gratuita destinada a desactivar el tráfico HTTP de forma más segura y controlada. Esta solución estará pensada especialmente para entornos que dependen de dispositivos de bajo nivel o sistemas que no soportan HTTPS por defecto.
Con esta medida, Cloudflare refuerza su compromiso con la seguridad y anima a todo el ecosistema de desarrolladores a adoptar prácticas más robustas y responsables en la gestión de datos sensibles y conexiones API.
