Cloudflare：如何解決SSL錯(cuò)誤

對(duì)瀏覽到通過(guò) Cloudflare 代理的域時(shí)觀察到的常見 SSL 錯(cuò)誤進(jìn)行故障排除。

概述

在 Cloudflare 為您的域提供 SSL 證書之前，各種瀏覽器中會(huì)出現(xiàn) HTTPS 流量的以下錯(cuò)誤：

Firefox

     ssl_error_bad_cert_domain
     此連接不受信任

Chrome

     您所用連接不是專用連接

Safari

     Safari 無(wú)法驗(yàn)證網(wǎng)站的身份

Edge/Internet Explorer

     此網(wǎng)站的安全證書存在問題

即使為您的域配置了 Cloudflare SSL 證書，舊版瀏覽器也會(huì)顯示有關(guān)不受信任的 SSL 證書的錯(cuò)誤，因?yàn)樗鼈儾恢С?Cloudflare Universal SSL 證書使用的服務(wù)器名稱指示（SNI）協(xié)議。

否則，如果在使用新版瀏覽器時(shí)出現(xiàn) SSL 錯(cuò)誤，請(qǐng)查看以下常見的 SSL 錯(cuò)誤原因：

• 重定向循環(huán)錯(cuò)誤或 HTTP 525 或 526 錯(cuò)誤

• 僅部分子域返回 SSL 錯(cuò)誤

• 您的 Cloudflare Universal SSL 證書未激活

• OCSP 響應(yīng)錯(cuò)誤

• SSL 已過(guò)期或 SSL 不匹配錯(cuò)誤

重定向循環(huán)錯(cuò)誤或 HTTP 525 或 526 錯(cuò)誤

表現(xiàn)

訪問者在瀏覽到您的域時(shí)發(fā)現(xiàn)重定向循環(huán)錯(cuò)誤，或觀察到 HTTP 525 或 526 錯(cuò)誤。當(dāng) Cloudflare SSL/TLS 應(yīng)用中的當(dāng)前 Cloudflare SSL 選項(xiàng)與您的源 Web 服務(wù)器配置不兼容時(shí)，會(huì)發(fā)生這些錯(cuò)誤。

解決方案

有關(guān)重定向循環(huán)的信息，請(qǐng)參閱我們的解決重定向循環(huán)錯(cuò)誤指南。

要解決 HTTP 525 或 526 錯(cuò)誤，請(qǐng)參閱下面推薦的 SSL 配置。例如，如果您的源 Web 服務(wù)器...

• 具有證書頒發(fā)機(jī)構(gòu)提供的有效證書或 Cloudflare 提供的 Origin CA 證書，則使用完全或 完全（嚴(yán)格）SSL 選項(xiàng)

• 具有自簽名 SSL 證書，則使用完全 SSL 選項(xiàng)

• 缺少任何已安裝的 SSL 證書，則使用靈活 SSL 選項(xiàng)。

僅部分子域返回 SSL 錯(cuò)誤

表現(xiàn)

Cloudflare Universal SSL 和常規(guī)Dedicated SSL 證書僅涵蓋根級(jí)域（example.com）和一級(jí)子域（*.example.com）。如果域的訪問者在其瀏覽器中訪問二級(jí)子域（例如 dev.www.example.com）時(shí)發(fā)現(xiàn)錯(cuò)誤，而不是一級(jí)子域（例如 www.example.com），則使用以下方法之一解決問題。

解決方案

• 確保域至少在 Business 計(jì)劃中，并上傳涵蓋 dev.www.example.com 的自定義 SSL 證書，或者

• 購(gòu)買涵蓋 dev.www.example.com 附帶自定義主機(jī)名的 Dedicated SSL 證書，或者

• 如果您的源 Web 服務(wù)器上的二級(jí)子域具有有效證書，請(qǐng)單擊 Cloudflare DNS 應(yīng)用中 dev.www 主機(jī)名旁 example.com 的橙色云圖標(biāo)。

您的 Cloudflare Universal SSL 證書未激活

表現(xiàn)

所有激活的 Cloudflare 域都提供 Universal SSL 證書。如果您發(fā)現(xiàn) SSL 錯(cuò)誤，并且在 Cloudflare SSL/TLS 應(yīng)用的邊緣證書部分中您的域沒有類型為 Universal 的證書，則尚未配置 Universal SSL 證書。

Cloudflare SSL 證書僅適用于通過(guò) Cloudflare 代理的流量。如果只有未代理到 Cloudflare 的主機(jī)名發(fā)生 SSL 錯(cuò)誤，請(qǐng)通過(guò) Cloudflare 代理這些主機(jī)名：

• 對(duì)于“完整 DNS”設(shè)置的域，請(qǐng)單擊 Cloudflare DNS 應(yīng)用中 DNS 主機(jī)名旁邊的灰色云圖標(biāo)，直到該圖標(biāo)變?yōu)槌壬啤?/span>

• 對(duì)于 CNAME 設(shè)置中的域，請(qǐng)查看我們的將 DNS 記錄添加到 CNAME 設(shè)置指南。

在 Cloudflare 為域名發(fā)出證書之前，我們的 SSL 供應(yīng)商會(huì)驗(yàn)證每個(gè) SSL 證書請(qǐng)求。此過(guò)程可能需要 15 分鐘到 24 小時(shí)。我們的 SSL 證書供應(yīng)商有時(shí)會(huì)標(biāo)記域名以供進(jìn)一步審核。

解決方案

如果您的域位于 CNAME 設(shè)置中：

與您當(dāng)前的托管提供商確認(rèn)是否已啟用 CAA DNS 記錄。如果是，請(qǐng)確保指定 Cloudflare 用于為您的域提供證書的證書頒發(fā)機(jī)構(gòu)。

如果您的域在 Cloudflare SSL/TLS 應(yīng)用的禁用 Universal SSL 部分下禁用了 Universal SSL：

• 在 Cloudflare SSL/TLS 應(yīng)用中啟用 Universal SSL，或

• 或購(gòu)買 Dedicated SSL 證書，或者

• 將自定義 SSL 證書上傳到 Cloudflare。

如果在 Cloudflare 域激活后 24 小時(shí)內(nèi)未發(fā)出 Cloudflare SSL 證書：

• 如果您的源 Web 服務(wù)器具有有效的 SSL 證書，則暫停 Cloudflare，并

• 打開支持票證以提供以下信息：
  

• 受影響的域名，以及

• 您觀察到的錯(cuò)誤的屏幕截圖。

在支持團(tuán)隊(duì)調(diào)查此問題時(shí)，暫停 Cloudflare 將允許從您的源 Web 服務(wù)器正確提供 HTTPS 流量。

OCSP 響應(yīng)錯(cuò)誤

表現(xiàn)

您站點(diǎn)的訪問者發(fā)現(xiàn) OCSP 響應(yīng)錯(cuò)誤。

解決方案

此錯(cuò)誤可能是由瀏覽器版本造成的，也可能是由需要 Cloudflare 的 SSL 供應(yīng)商之一注意的問題造成的。為了正確診斷，請(qǐng)打開支持票證，其中包含觀察到瀏覽器錯(cuò)誤的訪問者提供的以下信息：

1. 來(lái)自 https://aboutmybrowser.com/ 的輸出

2. 來(lái)自訪問者瀏覽器的 https://example.com/cdn-cgi/trace 的輸出。將 example.com 替換為您網(wǎng)站的域名。

SSL 已過(guò)期或 SSL 不匹配錯(cuò)誤

表現(xiàn)

訪問者在瀏覽器中發(fā)現(xiàn)有關(guān) SSL 過(guò)期或 SSL 不匹配的錯(cuò)誤消息。

解決方案

如果使用自定義 SSL 證書，請(qǐng)先驗(yàn)證它是否已過(guò)期或上傳替換 SSL 證書。