Seguridad Web , Administración de Servidores

Guía Definitiva: Cómo Solucionar el Error 525 de Cloudflare y Fallos de AutoSSL en cPanel

Soluciona el error 525 de Cloudflare y problemas de AutoSSL en cPanel con esta guía completa que cubre causas comunes, soluciones prácticas y recomendaciones de configuración.

Por Hans Gallardo | 26 de July de 2025

¿Alguna vez te has topado con el temido Error 525: SSL handshake failed de Cloudflare? Es un problema frustrante que deja tu sitio web inaccesible y apunta a un fallo de comunicación segura entre los servidores de Cloudflare y tu servidor de hosting. Lo que es peor, al intentar solucionarlo, puedes caer en una espiral de errores en tu servidor, como fallos en la renovación de certificados de Let’s Encrypt a través de AutoSSL.

Si eres un administrador de sistemas o el dueño de un servidor dedicado con cPanel, esta guía es para ti. Te llevaré paso a paso a través del proceso de diagnóstico y solución que aplicamos en un caso real, transformando un dolor de cabeza técnico en una solución clara y definitiva.

Parte 1: Entendiendo el Síntoma - El Error 525 de Cloudflare

El error 525 es inequívoco: significa que la conexión segura (el “apretón de manos” SSL) entre Cloudflare y tu servidor de origen ha fallado. Cloudflare está listo para proteger tu sitio, pero no puede establecer un canal seguro con él.

El primer paso para cualquier diagnóstico es aislar el problema. Para ello, la mejor estrategia es pausar Cloudflare temporalmente.

  1. Ve a tu panel de Cloudflare.
  2. En la pantalla principal de tu dominio, busca la opción “Pausar Cloudflare en el sitio”.

Al hacer esto, tu dominio apuntará directamente a la IP de tu servidor. Si al intentar acceder a tu sitio con https:// ves un error del navegador como SSL_ERROR_INTERNAL_ERROR_ALERT, has confirmado que el problema no es de Cloudflare, sino de la configuración SSL de tu propio servidor.

Parte 2: La Causa Raíz - El Fallo de Renovación en AutoSSL

En un servidor cPanel, los certificados SSL suelen gestionarse automáticamente a través de AutoSSL con el proveedor Let’s Encrypt. El error SSL en tu servidor casi siempre significa que el certificado ha expirado o está corrupto porque AutoSSL no pudo renovarlo.

Pero, ¿por qué falla AutoSSL? La respuesta se encuentra en sus registros (logs). Puedes acceder a ellos desde WHM » SSL/TLS » Manage AutoSSL, en la pestaña “Logs”.

Al revisar el log, es probable que encuentres un error final como: ERROR Impediment: SECURED_DOMAIN_DCV_FAILURE. Esto significa que el proceso de validación de control de dominio (DCV) falló para uno o más de los dominios incluidos en el certificado anterior.

Los dos culpables más comunes son:

  1. Intentar renovar un certificado Wildcard (*.tudominio.com): Let’s Encrypt no puede verificar dominios wildcard mediante el método estándar HTTP (colocando un archivo en el servidor). Requiere una validación por DNS. Si tu DNS está en Cloudflare y no en tu servidor cPanel, AutoSSL no puede añadir los registros DNS necesarios, y la validación falla.
  2. Intentar renovar subdominios sin DNS: A menudo, los certificados antiguos incluyen subdominios de servicio como autodiscover.tudominio.com o cpanel.tudominio.com. Si estos subdominios no tienen un registro DNS público que apunte al servidor, Let’s Encrypt no puede validarlos, y todo el proceso de renovación se detiene.

Parte 3: La Solución Definitiva Paso a Paso

La solución consiste en “limpiar” la lista de dominios que AutoSSL intenta asegurar, eliminando los que causan el conflicto.

Paso 1: Pausar Cloudflare (Ya lo hicimos) Asegúrate de que Cloudflare siga en pausa para que AutoSSL pueda comunicarse directamente con tu servidor.

Paso 2: Acceder al cPanel del Usuario Afectado Desde WHM, busca la cuenta de cPanel que presenta el problema e inicia sesión en ella.

Paso 3: Ir a “SSL/TLS Status” Dentro de cPanel, ve a la sección Seguridad » SSL/TLS Status.

Paso 4: Excluir los Dominios Problemáticos Aquí está la clave de todo el proceso. Verás una lista de todos los dominios y subdominios. Busca uno por uno los que causan problemas y haz clic en el enlace “Exclude from AutoSSL” (Excluir de AutoSSL).

Los principales dominios a excluir son:

  • El dominio Wildcard: *.tudominio.com
  • Subdominios sin registro DNS: autodiscover.tudominio.com
  • Dominios internos de cPanel (si aparecen): *.cprapid.com, etc.

Verificación Crucial: Después de hacer clic en “Exclude”, la página se recargará y el botón al lado del dominio cambiará a uno verde que dice “Include in AutoSSL”. ¡Esto te confirma que la exclusión fue exitosa!

Paso 5: Ejecutar AutoSSL Manualmente Una vez que hayas excluido todos los dominios problemáticos, regresa a WHM » Manage AutoSSL. Busca al usuario y fuerza una nueva comprobación.

Paso 6: Volver a Activar Cloudflare y Configurar la Seguridad Con el nuevo certificado ya instalado en tu servidor, es hora de volver a Cloudflare:

  1. Reactiva Cloudflare quitando la pausa.
  2. Ve a la sección SSL/TLS de Cloudflare y asegúrate de que el modo de encriptación esté configurado en Full (Strict). Esta es la única configuración que garantiza una seguridad completa de extremo a extremo.

Conclusión

Un error 525 de Cloudflare puede parecer un problema de la plataforma, pero a menudo es solo el mensajero que nos avisa de un problema más profundo en nuestro servidor. Al entender cómo funciona el proceso de validación de AutoSSL y al limpiar la lista de dominios a certificar, podemos resolver no solo el fallo del SSL en el servidor, sino también el error 525, garantizando un sitio web rápido, seguro y siempre disponible.