Diagnostiquer et résoudre les erreurs 5XX pour les sites mis en proxy par Cloudflare.

Présentation

Pour dépanner la plupart des erreurs 5XX, il faut d'abord contacter votre fournisseur d’hébergement ou l'administrateur du site pour dépanner et recueillir des données.

Informations sur les erreurs à fournir à votre fournisseur d’hébergement

1. Code et message d'erreur 5XX spécifique
2. L'heure (avec le fuseau horaire) à laquelle l'erreur 5XX s'est produite
3. L'URL qui a généré l'erreur HTTP 5XX (par exemple : https://www.exemple.com/images/icons/image1.png)

Les informations supplémentaires à fournir à votre fournisseur d’hébergement ou à l'administrateur du site sont indiquées dans chaque description d'erreur ci-dessous. Cloudflare Custom Error Pages permet aux clients de changer l'apparence des pages d'erreur par défaut dont il est question dans cet article.

Error 500 : internal server error

Une erreur 500 indique généralement un problème avec votre serveur web d'origine.  Error establishing database connection est un message d'erreur HTTP 500 courant généré par votre serveur web d'origine.  Contactez votre hébergeur pour le résoudre.

Résolution

Donnez des informations détaillées à votre fournisseur d’hébergement pour qu'il vous aide à résoudre le problème.

Cependant, si l'erreur 500 contient « cloudflare » ou « cloudflare-nginx » dans le corps de réponse HTML, fournissez les informations suivantes au support Cloudflare :

1. Votre nom de domaine
2. L'heure (avec le fuseau horaire) à laquelle l'erreur 500 s'est produite
3. Le rapport de www.exemple.com/cdn-cgi/trace depuis le navigateur où l'erreur 500 a été observée (remplacez www.exemple.com par votre nom de domaine et votre nom d'hôte réels)

Erreur 502 bad gateway ou erreur 504 gateway timeout

Une erreur HTTP 502 ou 504 se produit lorsque Cloudflare est incapable d'établir le contact avec votre serveur web d'origine.

Il existe deux causes possibles :

• (cause la plus courante) 502/504 depuis votre serveur web d'origine
• 502/504 depuis Cloudflare

502/504 depuis votre serveur web d'origine :

Cloudflare renvoie une erreur HTTP 502 ou 504 mentionnant Cloudflare lorsque votre serveur web d'origine répond avec une erreur HTTP 502 bad gateway ou 504 gateway timeout standard :

Résolution

Contactez votre fournisseur d’hébergement pour trouver la cause de ces problèmes sur votre serveur web d'origine :

• Vérifiez que le serveur d'origine répond aux requêtes pour le nom d'hôte et le domaine dans l'URL du visiteur qui a généré l'erreur 502 ou 504.
• Vérifiez la présence de charges de serveur excessives, de blocages (crashs) ou de pannes réseau.
• Identifiez les applications ou les services qui ont expiré ou qui ont été bloqués.

502/504 depuis Cloudflare

Une erreur 502 ou 504 provenant de Cloudflare se présente comme suit :

Si l'erreur ne porte pas la mention « cloudflare », contactez votre hébergeur pour obtenir de l'aide en ce qui concerne les erreurs 502/504 de votre serveur d'origine.

Résolution

Pour éviter de retarder le traitement de votre requête, veuillez fournir ces informations au support Cloudflare :

1. L'heure (avec le fuseau horaire) à laquelle le problème est survenu.
2. L'URL qui a généré la réponse HTTP 502 ou 504 (par exemple : https://www.exemple.com/images/icons/image1.png)
3. La sortie résultant de la navigation vers www.exemple.com/cdn-cgi/trace (remplacez www.exemple.com par le nom de domaine et le nom d'hôte qui a causé l'erreur HTTP 502 ou 504)

Error 503 : service temporarily unavailable

L'erreur HTTP 503 se produit lorsque votre serveur web d'origine est surchargé. Le message d'erreur peut indiquer deux causes possibles :

• L’erreur ne contient pas « cloudflare » ou « cloudflare-nginx » dans le corps de la réponse HTML.

Résolution : Contactez votre fournisseur d’hébergement pour vérifier s'il limite le débit des requêtes adressées à votre serveur web d'origine.

• L’erreur contient « cloudflare » ou « cloudflare-nginx » dans le corps de la réponse HTML.

Résolution : Un problème de connexion s'est produit dans un datacenter Cloudflare. Fournissez les informations suivantes au support Cloudflare :

1. Votre nom de domaine
2. L'heure (avec le fuseau horaire) à laquelle l'erreur 503 s'est produite
3. Le rapport de www.exemple.com/cdn-cgi/trace depuis le navigateur où l'erreur 503 a été observée (remplacez www.exemple.com par votre nom de domaine et votre nom d'hôte réels)

Error 520 : le serveur web renvoie une erreur inconnu

L'erreur 520 se produit lorsque le serveur d'origine renvoie une réponse vide, inconnue ou inattendue à Cloudflare.

Résolution

Contactez votre fournisseur d’hébergement ou l'administrateur de votre site et demandez-lui d'examiner les journaux d'erreurs de votre serveur web d'origine pour détecter les blocages (crashs) et pour voir si elles sont attribuables aux causes courantes suivantes :

• Crashs de l'application du serveur web d'origine
• Adresses IP de Cloudflare qui ne sont pas sur la liste blanche de votre serveur d'origine.
• Délais d'inactivité TCP du serveur web d'origine inférieurs à 300 secondes
• En-têtes dépassant 8 Ko (généralement dus à un trop grand nombre de cookies)
• Une réponse vide du serveur web d'origine qui n'a pas de code de statut HTTP ou de corps de réponse
• En-têtes de réponse manquants ou serveur web d'origine ne renvoyant pas de réponses d'erreur HTTP correctes

Si les erreurs 520 persistent après avoir contacté votre fournisseur d’hébergement ou l'administrateur du site, fournissez les informations suivantes au support Cloudflare :

• URL(s) complète(s) de la ressource demandée lorsque l'erreur s'est produite
• Ray ID de Cloudflare du message d'erreur 520
• La sortie de www.exemple.com/cdn-cgi/trace (remplacez www.exemple.com par votre nom de domaine et votre nom d'hôte où l'erreur 520 s'est produite)
• Deux fichiers HAR :
  • un avec Cloudflare activé sur votre site web, et
  • l'autre en ayant temporairement désactivé Cloudflare .

Erreur 521 : le serveur web est en panne

Une erreur 521 se produit quand le serveur web d’origine refuse les connexions de Cloudflare. Les dispositifs de sécurité de votre serveur d'origine peuvent bloquer des connexions légitimes provenant de certaines adresses IP Cloudflare.

Les deux causes les plus courantes des erreurs 521 sont les suivantes :

• Application du serveur web d'origine hors ligne
• Blocage des requêtes Cloudflare

Résolution

Contactez l'administrateur de votre site ou votre fournisseur d’hébergement pour éliminer ces causes courantes :

• Vérifiez la réactivité de votre serveur web d'origine
• Consultez les journaux d'erreurs du serveur web d'origine pour identifier les blocages (crashs) ou les pannes d'applications du serveur web.
• Vérifiez que les adresses IP Cloudflare ne sont pas bloquées ou limitées en débit.
• Mettez en liste blanche toutes les plages d'IP Cloudflare dans le pare-feu de votre serveur web d'origine ou tout autre logiciel de sécurité.

Error 522 : connection timed out

Une erreur 522 se produit lorsque Cloudflare dépasse le délai de connexion avec le serveur web d'origine. Deux dépassements de délai différents provoquent l'erreur HTTP 522 en fonction du moment où ils se produisent entre Cloudflare et du serveur web d'origine :

1. Avant qu'une connexion ne soit établie, le serveur web d'origine ne renvoie pas un SYN+ACK à Cloudflare dans les 15 secondes suivant l'envoi d'un SYN par Cloudflare.
2. Une fois la connexion établie, le serveur web d'origine n'accuse pas réception (ACK) de la requête de ressource de Cloudflare dans les 90 secondes qui suivent.

Résolution

Contactez votre fournisseur d’hébergement pour vérifier les causes courantes suivantes sur votre serveur web d'origine :

• (Cause la plus fréquente) Les adresses IP de Cloudflare sont limitées en débit ou bloquées dans .htaccess, les iptables ou dans les pare-feu. Vérifiez que votre fournisseur d’hébergement a bien établi une liste blanche des adresses IP Cloudflare.
• Un serveur web d'origine surchargé ou hors ligne interrompt les requêtes entrantes.
• Les Keepalives sont désactivés sur le serveur web d'origine.
• L'adresse IP d'origine de votre application DNS Cloudflare ne correspond pas à l'adresse IP actuellement allouée à votre serveur web d'origine par votre fournisseur d’hébergement.
• Des paquets ont été abandonnés au niveau de votre serveur web d'origine.

Si rien de ce qui précède ne permet de résoudre le problème, demandez les informations suivantes à votre fournisseur d’hébergement ou à l'administrateur du site avant de contacter le support Cloudflare :

• Un MTR ou traceroute depuis votre serveur web d'origine vers une adresse IP Cloudflare qui se connectait communément à votre serveur web d'origine avant que le problème ne survienne. Identifiez une adresse IP de connexion Cloudflare enregistrée dans les journaux du serveur web d'origine.
• Les détails de l'enquête du fournisseur d’hébergement, comme les journaux concernés ou les conversations avec celui-ci.

Error 523: origin is unreachable

Les erreurs 523 se produisent lorsque Cloudflare ne parvient pas à contacter votre serveur web d'origine, ce qui arrive généralement lorsqu'un périphérique réseau entre Cloudflare et le serveur web d'origine ne peut pas accéder à l'adresse IP du fournisseur.

Résolution
Contactez votre fournisseur d’hébergement pour exclure les causes communes suivantes au niveau de votre serveur web d'origine :

• Confirmez que l'adresse IP d'origine correcte est répertoriée pour les enregistrements A ou AAAA dans votre application DNS Cloudflare.
• Dépannez les problèmes de routage Internet entre votre serveur d'origine et Cloudflare, ou avec le serveur d'origine lui-même.

Si rien de ce qui précède ne permet de résoudre le problème, demandez les informations suivantes à votre fournisseur d’hébergement ou à l'administrateur du site :

• Un MTR ou traceroute depuis votre serveur web d'origine vers une adresse IP Cloudflare qui se connectait communément à votre serveur web d'origine avant que le problème ne survienne. Identifiez une adresse IP de connexion Cloudflare à partir des journaux du serveur web d'origine.
• Si vous utilisez Railgun via un partenaire d'hébergement Cloudflare, contactez votre fournisseur d’hébergement pour dépanner les erreurs 523.
• Si c'est vous qui gérez votre installation Railgun, fournissez ce qui suit au service support de Cloudflare :
  • Un traceroute vers votre serveur web d'origine depuis votre serveur Railgun.
  • Le fichier syslog le plus récent de votre serveur Railgun.

Error 524: a timeout occurred

Une erreur 524 indique que Cloudflare s’est connecté au serveur web d'origine, mais que le serveur d'origine n'a pas fourni de réponse HTTP avant que la deuxième connexion par défaut de 100 s ait expiré.

Résolution
Contactez votre fournisseur d’hébergement pour exclure les causes courantes suivantes au niveau de votre serveur web d'origine :

• Un processus de longue durée se déroule sur le serveur web d'origine.
• Serveur web d’origine surchargé.

Si vous lancez régulièrement des requêtes HTTP qui dépassent 100 secondes pour être achevées (comme des exportations de données volumineuses), déplacez ces processus derrière un sous-domaine non proxysé (en nuage gris) dans l'application DNS de Cloudflare.

Erreur 525 : Échec de la négociation SSL

Les erreurs 525 proviennent souvent d’un problème de configuration du serveur web d’origine. Les erreurs 525 se produisent lorsque ces deux conditions sont vraies :

1. La négociation SSL entre Cloudflare et le serveur web d’origine a échoué, et
2. Full ou Full (Strict) SSL est réglé dans votre application SSL/TLS Cloudflare.

Résolution

Contactez votre fournisseur d’hébergement pour exclure les causes courantes suivantes au niveau de votre serveur web d'origine :

• Aucun certificat SSL valide n'est installé
• Le port 443 (ou un autre port sécurisé personnalisé) n'est pas ouvert
• Pas de prise en charge SNI
• Les suites de chiffrement acceptées par Cloudflare ne correspondent pas aux suites de chiffrement prises en charge par le serveur web d'origine.

Erreur 526 : certificat SSL invalide

Les erreurs 526 se produisent lorsque ces deux conditions sont vraies :

1. Cloudflare ne parvient pas à valider le certificat SSL sur votre serveur web d'origine, et
2. Full SSL (Strict) SSL est réglé dans votre application SSL/TLS Cloudflare.

Résolution

Demandez à votre administrateur de serveur ou à votre hébergeur de vérifier les certificats SSL du serveur web d'origine et de vérifier que :

• Le certificat n'a pas expiré
• Le certificat n'est pas révoqué
• Le certificat est signé par une Autorité de certification (et non auto-signé).
• Le nom de domaine demandé et le nom d'hôte sont dans la configuration Common Name ou Subject Alternative Name (SAN) du certificat.
• Votre serveur web d'origine accepte les connexions via le port SSL 443
• Mettez temporairement en pause Cloudflare et rendez-vous sur https://www.sslshopper.com/ssl-checker.html#hostname=www.exemple.com (remplacez www.exemple.com par votre nom d'hôte et votre domaine) pour vérifier qu'aucun problème n’existe avec le certificat SSL d'origine :

Si le serveur d'origine utilise un certificat auto-signé, configurez le domaine pour utiliser Full SSLSSL au lieu de Full SSL (Strict). Consultez les paramètres SSL recommandés pour votre serveur d'origine.

Erreur 527 : Railgun Listener to origin error

Une erreur 527 indique une connexion interrompue entre Cloudflare et le serveur Railgun de votre origine (rg-listener). Les causes les plus courantes sont les suivantes :

• Interférence avec le pare-feu
• Incidents réseau ou perte de paquets entre le serveur Railgun et Cloudflare

Les causes les plus fréquentes des erreurs 527 sont les suivantes :

• Délais de connexion dépassé
• Délai de connexion LAN dépassé
• Refus de connexion
• Erreurs relatives à TLS/SSL

Si vous contactez le support Cloudflare, fournissez les informations suivantes de Railgun Listener :

• Le contenu complet du fichier railgun.conf
• Le contenu complet du fichier railgun-nat.conf
• Les fichiers journaux Railgun qui décrivent en détail les erreurs observées

Délais de connexion

Les erreurs de journal Railgun suivantes indiquent une panne de connexion entre le Railgun Listener et votre serveur web d'origine :

connection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443: i/o timeoutno response from origin (timeout) 0.0.0.0:80/example.com

Résolution

Contactez votre hébergeur pour qu'il vérifie les problèmes de connexion entre votre serveur web d'origine et votre Railgun Listener. Par exemple, la commande netcat teste la connectivité lorsqu'elle est exécutée depuis le Railgun Listener vers le SERVERIP et le PORT (80 pour HTTP ou 443 pour HTTPS) du serveur web d'origine :

nc -vz SERVERIP PORT

Délai de connexion LAN dépassé

Le journal d'erreur Railgun Listener suivant est généré si le serveur web d'origine n'envoie pas de réponse HTTP au Railgun Listener dans le délai de 30 secondes alloué par défaut :

  connection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443: i/o timeout

La durée est définie par le paramètre lan.timeout du fichier railgun.conf.

Résolution

Augmentez le délai lan.timeout dans railgun.conf, ou vérifiez la configuration du serveur web. Contactez votre hébergeur pour vérifier si le serveur web d'origine est surchargé.

Refus de connexion

Les erreurs suivantes apparaissent dans les journaux Railgun lorsque les requêtes de Railgun Listener sont refusées :

Error getting page: dial tcp 0.0.0.0:80:connection refused

Résolution

Placez l'adresse IP de votre Railgun Listener sur la liste blanche du pare-feu de votre serveur web d'origine.

Erreurs relatives à TLS/SSL

Les erreurs suivantes apparaissent dans les journaux Railgun si les connexions TLS échouent :

connection failed 0.0.0.0:443/exemple.com: remote error: handshake failureconnection failed 0.0.0.0:443/exemple.com: dial tcp 0.0.0.0:443: i/o timeoutconnection failed 127.0.0.1:443/www.exemple.com: x509: certificate is valid forexemple.com, not www.exemple.com

Résolution

Si des erreurs TLS/SSL se produisent, vérifiez les points suivants sur le serveur web d'origine et veillez à ce que :

• Le port 443 soit ouvert
• Un certificat SSL soit présenté par le serveur web d'origine
• le SAN ou le Nom Commun du certificat SSL du serveur web d'origine contient le nom d'hôte demandé
• Le SSL est réglé sur Full ou Full (Strict) dans l’application CloudflareSSL/TLS

Error 530

L'erreur HTTP 530 est renvoyée accompagnée d'une erreur 1XXX. Recherchez l'erreur 1XXX spécifique dans le centre d'aide de Cloudflare pour des informations sur le dépannage.

Ressources associées

• Recueillir les informations pour dépanner les problèmes de sites
• Contacter le support Cloudflare
• Personnalisation des pages d’erreur de Cloudflare
• Diagnostic et utilisation de MTR/traceroute