Como Encontrei um Bug Escondido do Cloudflare em uma Madrugada de Domingo (A alegria do curl)
Era para ser um projeto rapido de fim de semana. Sabe aquele tipo: "Vou subir uma VM de saida, rotear algum trafego por ela, tomar meu...
Era para ser um projeto rapido de fim de semana. Sabe aquele tipo: "Vou subir uma VM de saida, rotear algum trafego por ela, tomar meu cafe e terminar ate o almoco." Caro leitor, eu nao terminei ate o almoco.
A Configuracao
Eu estava construindo um pequeno tier de acesso para alguns ambientes de dev: uma VM de saida com Cloudflare Zero Trust na frente, roteamento baseado em hostname para dois dominios de dev especificos e AWS WAF do outro lado verificando o IP de origem. Coisa bem padrao de "dar acesso seguro a minha equipe sem expor coisas a internet publica".
Tudo correu bem ate que cheguei na parte onde voce precisa habilitar a descriptografia TLS. Esta e a magica que permite que o gateway do Cloudflare realmente inspecione o trafego e o roteie com base no hostname em vez de apenas IP. Sem isso, suas belas regras de hostname ficam la, bonitas e fazendo absolutamente nada.
A Trilha dos Tutoriais
Segui o caminho de aprendizado oficial do Cloudflare. Segui tres posts de blogs diferentes. Segui o tutorial do YouTube de alguem cuja voz soava como se realmente quisesse que eu me inscrevesse. Todos diziam a mesma coisa:
Va para Zero Trust > Settings > Network > Firewall > TLS decryption e ative a chave.
Entao fui la. A chave ativou. Entao um banner vermelho apareceu no topo da tela que simplesmente dizia:
Error configuring TLS setting.
Era isso. Sem codigo. Sem dica. Sem link de "clique aqui para detalhes". Apenas uma vibracao de "algo deu errado, boa sorte."
Tentei novamente. Mesmo erro. Atualizei. Mesmo erro. Tentei no Firefox. Mesmo erro. Limpei o cache. Mesmo erro. Considerei fazer cafe. Fiz cafe. Mesmo erro.
O Trabalho de Detetive
Aqui e onde minha ferramenta favorita entra em cena. Quando a UI se recusa a te dizer o que ha de errado, a aba network e o curl vao te contar. Abri as ferramentas de desenvolvedor, observei a requisicao que o toggle estava enviando, copiei como curl e executei localmente:
{
"result": null,
"success": false,
"errors": [
{
"code": 2211,
"message": "TLS decryption cannot be enabled without a certificate. Please disable TLS encryption or configure a certificate using the 'certificate' setting."
}
],
"messages": []
}Ali estava. Uma mensagem de erro clara, util e acionavel. O tipo de mensagem que, se mostrada na UI, teria me economizado cerca de noventa minutos da minha vida. Em vez disso, estava escondida dentro da resposta JSON, engolida em algum lugar entre a API e a tela.
A mensagem basicamente dizia: "voce precisa de um certificado primeiro, sua batata." (Estou parafraseando.)
A Correcao Real
Aqui esta a coisa que ninguem na internet parece mencionar: o gerenciamento de certificados mudou de lugar.
Todos os guias que li apontavam para a localizacao antiga. A localizacao atual real esta enterrada em uma secao completamente diferente. Especificamente:
Zero Trust > Traffic policies > Traffic settings > Certificates (aba no topo)Nao Network. Nao Firewall. Traffic policies > Traffic settings.
Voce gera um certificado gerenciado pelo Cloudflare la. Depois marca como Available e In-Use. Depois espera de cinco a dez minutos (essa parte tambem ninguem menciona, voce so fica olhando um campo de status e questionando silenciosamente suas escolhas de vida). Assim que o certificado estiver totalmente ativo, voce pode finalmente voltar e habilitar a descriptografia TLS.
Simplesmente funciona. O toggle ativa. O banner vermelho nao aparece. O mundo faz sentido novamente.
A Moral
Duas coisas ficaram comigo dessa pequena aventura.
Primeiro: os docs nao estavam errados, estavam apenas desatualizados. O Cloudflare se move rapido e reorganiza seu dashboard com frequencia. Isso nao e uma critica, apenas uma realidade. Ao seguir qualquer guia para qualquer produto em rapida evolucao, espere que os caminhos do menu possam ter mudado. Os conceitos sao os mesmos, os botoes nem sempre estao onde as capturas de tela dizem que estao.
Segundo: a aba network e sua melhor amiga. Quando uma UI te da um erro inutil, a API quase sempre sabe mais. Ferramentas de dev do navegador, curl ou ate mesmo apenas ler a resposta bruta e a diferenca entre depurar em cinco minutos e depurar em cinco horas. O tratamento de erros da UI e uma fina camada pintada sobre um sistema muito mais detalhado, e esse sistema geralmente esta la esperando voce perguntar educadamente.
O Bonus
Eu relatei isso ao Cloudflare. O codigo de erro 2211 tem uma mensagem perfeitamente boa anexada a ele. So nao esta chegando a tela. Espero que alguem perceba e um futuro guerreiro de fim de semana receba um banner util em vez de um vago.
Ate la, se voce alguma vez ver "Error configuring TLS setting" sem mais detalhes, a resposta provavelmente e:
- Gere um certificado primeiro (em Traffic policies > Traffic settings)
- Marque como Available e In-Use
- Espere
- Depois habilite a descriptografia TLS
Agora, se me dao licenca, tenho uma VM de saida que finalmente funciona e um cafe que esfriou duas vezes.
Um brinde da madrugada de domingo (02:42 AM) na mesa de depuracao.
Mais de Ercan
Mais dois sites, mesmo autor, terreno diferente.
IA, LLMs, agentes, ML aplicado.
Notas de campo sobre cargas de IA. Análise de custos do Bedrock, padrões de agentes, trade-offs de armazenamento vetorial, modos de falha em produção.
Visitar ercan.ai →O hub. Sobre, consultoria, contato.
Hub pessoal para as duas trilhas de escrita. Quem sou eu, como funciona a consultoria, como me contatar.
Visitar ercanermis.com →