使用 Cloudflare 的端到端 HTTPS - 第 3 部分:SSL 选项

Avatar
Damon
关注

了解哪些 Cloudflare SSL 选项可加密 Cloudflare 与源 Web 服务器之间的 HTTPS 流量。

概述

Cloudflare SSL/TLS 应用中的 SSL 部分包含多个选项,可用于确定 Cloudflare 是否安全地连接到您的源 Web 服务器。查看每个 SSL 选项的描述后,请根据您的源 Web 服务器 SSL 配置参阅我们的推荐 SSL 选项列表:

Off 会为您的站点访问者禁用 HTTPS,而完整(严格)则提供端到端的最大流量安全性。

如果您的源 Web 服务器将 HTTP 流量重定向到 HTTPS 或将 HTTPS 流量重定向到 HTTP,则网站访问者可能会发生重定向循环错误

Off

cfssl_off.png

Off 将禁用访问者与 Cloudflare 之间以及 Cloudflare 与源 Web 服务器之间的安全 HTTPS 连接。访问者只能通过 HTTP 查看您的网站。通过 HTTPS 尝试的任何连接都会导致 HTTP 301 重定向到未加密的 HTTP。

灵活

cfssl_flexible.png

灵活 SSL 选项允许在访问者和 Cloudflare 之间建立安全的 HTTPS 连接,但会强制 Cloudflare 通过未加密的 HTTP 连接到源 Web 服务器。您的源 Web 服务器不需要拥有 SSL 证书,但访问者仍然会浏览该网站的 HTTPS 版本。

如果您的网站上有任何敏感信息,则不建议使用灵活选项。只有在用户无法在自己的源 Web 服务器上设置 SSL 时,才使用灵活作为最后的手段。

完全

cfssl_full.png

完全可确保访问者与 Cloudflare 域之间以及 Cloudflare 与 Web 服务器之间的安全连接。

完全 SSL 选项不会在源中验证 SSL 证书的真实性。源 Web 服务器上允许使用自签名证书。

要在启用完全 SSL 选项之前避免 525 错误,请将源 Web 服务器配置为允许端口 443 上的 HTTPS 连接,并提供自签名 SSL 证书、Cloudflare Origin CA 证书或从证书颁发机构购买的有效证书。

完全(严格)

cfssl_strict.png

完全(严格)可确保访问者与 Cloudflare 域之间以及 Cloudflare 与源 Web 服务器之间的安全连接。配置源 Web 服务器以允许端口 443 上的 HTTPS 连接,并提供 Cloudflare Origin CA 证书或从证书颁发机构购买的有效证书。此证书必须由 Cloudflare 信任的证书颁发机构签名,而到期日期须为未来的日期,并涵盖所请求的域名(主机名)。

完全(严格)SSL 选项将检查源 Web 服务器上的 SSL 证书有效性。无法使用自签名证书。需要使用 Cloudflare Origin CA 证书或从证书颁发机构购买的有效证书,以避免 526 错误

严格(仅 SSL Origin Pull)

严格(仅 SSL Origin Pull)仅适用于 Enterprise 域名。

严格(仅 SSL Origin Pull)指示 Cloudflare 的网络始终使用 SSL/TLS 加密 (HTTPS) 连接至您的源 Web 服务器。源 Web 服务器提供的此 SSL 证书必须由 Cloudflare 信任的证书颁发机构签名,而到期日期须为未来的日期,并涵盖所请求的域名(主机名)。

此外,严格(仅 SSL Origin Pull)还将指示  Cloudflare 使用 Authenticated Origin Pulls

相关资源

学习

故障排除

这篇文章有帮助吗?
129 人中有 102 人觉得有帮助
Not finding what you need?
询问社区   Submit a request

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Popular questions: 为什么我的站点的速度非常慢, 522 错误, 我期待流量激增

由 Zendesk 提供技术支持