どのCloudflareSSLオプションがCloudflareとオリジンWebサーバー間のHTTPSトラフィックを暗号化するのかをご理解ください。
概要
CloudflareSSL/TLSアプリのSSLセクションにはオプションがいくつかあり、それらがCloudflareがオリジンWebサーバーに安全に接続できるか決定します。各SSL オプションの説明を確認した後、オリジンWebサーバーSSL設定に合わせて、当社の推奨SSLオプションの一覧を参照してください。
Off では、サイト訪問者のためのHTTPSが無効となりますが、Full(Strict)では、エンドツーエンドで最大限のトラフィックセキュリティーを提供します。
オフ
Off にすると、訪問者とCloudflareとの間でも、CloudflareとオリジンWebサーバーとの間でも、安全なHTTPS接続が無効となってしまいます。訪問者は、ウェブサイトをHTTPで表示するしかなくなります。HTTPS経由で接続を試行すると、暗号化されていないHTTPにリダイレクトされるHTTP301になります。
Flexible
Flexible SSL オプションにすると、訪問者とCloudflare間のHTTPS接続が安全になりますが、Cloudflareは暗号化されていないHTTPを通じてオリジンWebサーバーに接続せざるを得なくなります。SSL証明書がオリジンWebサーバーで必要とされることはありませんし、訪問者もHTTPSが有効な状態でサイトを閲覧することができるようになります。
Full
Fullは、訪問者とCloudflareドメインとの間、Cloudflareとオリジンサーバーとの間の安全な接続を確保します。
525 エラーを回避するには、Full SSLオプションを有効化する前に、オリジンWebサーバーがHTTPS接続をポート443で許可し、自己署名SSL証明書かCloudflare Origin CA証明書、または認証局から購入した有効な証明書のどれかを提示するように設定します。
Full (strict)
Full (strict)は、訪問者とCloudflareドメイン間でもCloudflareとオリジンWebサーバー間でも、安全な接続を確保します。オリジンWebサーバーがポート443でHTTPS接続ができるように許可し、Cloudflare Origin CA証明書か、認証局から購入した有効な証明書のどちらかを提示するように設定します。この証明書は、Cloudflareが信頼する認証局によって署名されていること、有効期限内であること、要求されるドメイン名(ホスト名)を対象としていることが必要となります。
Strict (SSL-オリジン プルのみ)
Strict (SSL-オリジン プルのみ)は、SSL/TLS暗号化(HTTPS)を使って、CloudflareのネットワークがオリジンWebサーバーと常時接続するように指示を出します。オリジンWebサーバーで表示されるSSL証明書は、Cloudflareが信頼する認証局によって署名されていて、有効期間内であり、要求されるドメイン名を対象としていなければなりません。
さらに、Strict (SSL-オリジン プルのみ)は、認証されたオリジンプルを利用するようにCloudflareに指示を出します。
関連リソース
学習
トラブルシューティング