Cloudflare：如何解決SSL錯誤

對瀏覽到通過 Cloudflare 代理的域時觀察到的常見 SSL 錯誤進(jìn)行故障排除。

概述

在 Cloudflare 為您的域提供 SSL 證書之前，各種瀏覽器中會出現(xiàn) HTTPS 流量的以下錯誤：

Firefox

     ssl_error_bad_cert_domain
     此連接不受信任

Chrome

     您所用連接不是專用連接

Safari

     Safari 無法驗證網(wǎng)站的身份

Edge/Internet Explorer

     此網(wǎng)站的安全證書存在問題

即使為您的域配置了 Cloudflare SSL 證書，舊版瀏覽器也會顯示有關(guān)不受信任的 SSL 證書的錯誤，因為它們不支持 Cloudflare Universal SSL 證書使用的服務(wù)器名稱指示（SNI）協(xié)議。

否則，如果在使用新版瀏覽器時出現(xiàn) SSL 錯誤，請查看以下常見的 SSL 錯誤原因：

• 重定向循環(huán)錯誤或 HTTP 525 或 526 錯誤

• 僅部分子域返回 SSL 錯誤

• 您的 Cloudflare Universal SSL 證書未激活

• OCSP 響應(yīng)錯誤

• SSL 已過期或 SSL 不匹配錯誤

重定向循環(huán)錯誤或 HTTP 525 或 526 錯誤

表現(xiàn)

訪問者在瀏覽到您的域時發(fā)現(xiàn)重定向循環(huán)錯誤，或觀察到 HTTP 525 或 526 錯誤。當(dāng) Cloudflare SSL/TLS 應(yīng)用中的當(dāng)前 Cloudflare SSL 選項與您的源 Web 服務(wù)器配置不兼容時，會發(fā)生這些錯誤。

解決方案

有關(guān)重定向循環(huán)的信息，請參閱我們的解決重定向循環(huán)錯誤指南。

要解決 HTTP 525 或 526 錯誤，請參閱下面推薦的 SSL 配置。例如，如果您的源 Web 服務(wù)器...

• 具有證書頒發(fā)機(jī)構(gòu)提供的有效證書或 Cloudflare 提供的 Origin CA 證書，則使用完全或 完全（嚴(yán)格）SSL 選項

• 具有自簽名 SSL 證書，則使用完全 SSL 選項

• 缺少任何已安裝的 SSL 證書，則使用靈活 SSL 選項。

僅部分子域返回 SSL 錯誤

表現(xiàn)

Cloudflare Universal SSL 和常規(guī)Dedicated SSL 證書僅涵蓋根級域（example.com）和一級子域（*.example.com）。如果域的訪問者在其瀏覽器中訪問二級子域（例如 dev.www.example.com）時發(fā)現(xiàn)錯誤，而不是一級子域（例如 www.example.com），則使用以下方法之一解決問題。

解決方案

• 確保域至少在 Business 計劃中，并上傳涵蓋 dev.www.example.com 的自定義 SSL 證書，或者

• 購買涵蓋 dev.www.example.com 附帶自定義主機(jī)名的 Dedicated SSL 證書，或者

• 如果您的源 Web 服務(wù)器上的二級子域具有有效證書，請單擊 Cloudflare DNS 應(yīng)用中 dev.www 主機(jī)名旁 example.com 的橙色云圖標(biāo)。

您的 Cloudflare Universal SSL 證書未激活

表現(xiàn)

所有激活的 Cloudflare 域都提供 Universal SSL 證書。如果您發(fā)現(xiàn) SSL 錯誤，并且在 Cloudflare SSL/TLS 應(yīng)用的邊緣證書部分中您的域沒有類型為 Universal 的證書，則尚未配置 Universal SSL 證書。

Cloudflare SSL 證書僅適用于通過 Cloudflare 代理的流量。如果只有未代理到 Cloudflare 的主機(jī)名發(fā)生 SSL 錯誤，請通過 Cloudflare 代理這些主機(jī)名：

• 對于“完整 DNS”設(shè)置的域，請單擊 Cloudflare DNS 應(yīng)用中 DNS 主機(jī)名旁邊的灰色云圖標(biāo)，直到該圖標(biāo)變?yōu)槌壬啤?/span>

• 對于 CNAME 設(shè)置中的域，請查看我們的將 DNS 記錄添加到 CNAME 設(shè)置指南。

在 Cloudflare 為域名發(fā)出證書之前，我們的 SSL 供應(yīng)商會驗證每個 SSL 證書請求。此過程可能需要 15 分鐘到 24 小時。我們的 SSL 證書供應(yīng)商有時會標(biāo)記域名以供進(jìn)一步審核。

解決方案

如果您的域位于 CNAME 設(shè)置中：

與您當(dāng)前的托管提供商確認(rèn)是否已啟用 CAA DNS 記錄。如果是，請確保指定 Cloudflare 用于為您的域提供證書的證書頒發(fā)機(jī)構(gòu)。

如果您的域在 Cloudflare SSL/TLS 應(yīng)用的禁用 Universal SSL 部分下禁用了 Universal SSL：

• 在 Cloudflare SSL/TLS 應(yīng)用中啟用 Universal SSL，或

• 或購買 Dedicated SSL 證書，或者

• 將自定義 SSL 證書上傳到 Cloudflare。

如果在 Cloudflare 域激活后 24 小時內(nèi)未發(fā)出 Cloudflare SSL 證書：

• 如果您的源 Web 服務(wù)器具有有效的 SSL 證書，則暫停 Cloudflare，并

• 打開支持票證以提供以下信息：
  

• 受影響的域名，以及

• 您觀察到的錯誤的屏幕截圖。

在支持團(tuán)隊調(diào)查此問題時，暫停 Cloudflare 將允許從您的源 Web 服務(wù)器正確提供 HTTPS 流量。

OCSP 響應(yīng)錯誤

表現(xiàn)

您站點(diǎn)的訪問者發(fā)現(xiàn) OCSP 響應(yīng)錯誤。

解決方案

此錯誤可能是由瀏覽器版本造成的，也可能是由需要 Cloudflare 的 SSL 供應(yīng)商之一注意的問題造成的。為了正確診斷，請打開支持票證，其中包含觀察到瀏覽器錯誤的訪問者提供的以下信息：

1. 來自 https://aboutmybrowser.com/ 的輸出

2. 來自訪問者瀏覽器的 https://example.com/cdn-cgi/trace 的輸出。將 example.com 替換為您網(wǎng)站的域名。

SSL 已過期或 SSL 不匹配錯誤

表現(xiàn)

訪問者在瀏覽器中發(fā)現(xiàn)有關(guān) SSL 過期或 SSL 不匹配的錯誤消息。

解決方案

如果使用自定義 SSL 證書，請先驗證它是否已過期或上傳替換 SSL 證書。