了解哪些 Cloudflare SSL 选项可加密 Cloudflare 与源 Web 服务器之间的 HTTPS 流量。
概述
Cloudflare SSL/TLS 应用中的 SSL 部分包含若干选项,可用于确定 Cloudflare 是否安全地连接到您的源 Web 服务器。
查看每个 SSL 选项的描述后,请根据您的源 Web 服务器 SSL 配置参阅我们的推荐 SSL 选项列表:
关闭 会为您的站点访问者禁用 HTTPS,而完全(严格)则提供端到端的最大流量安全性。
关闭
关闭 将禁用访问者与 Cloudflare 之间以及 Cloudflare 与源 Web 服务器之间的安全 HTTPS 连接。访问者只能通过 HTTP 查看您的网站。通过 HTTPS 尝试的任何连接都会导致 HTTP 301 重定向到未加密的 HTTP。
灵活
灵活 SSL 选项允许在访问者和 Cloudflare 之间建立安全的 HTTPS 连接,但会强制 Cloudflare 通过未加密的 HTTP 连接到源 Web 服务器。您的源 Web 服务器不需要拥有 SSL 证书,但访问者仍然会浏览该网站的 HTTPS 版本。
Full
完全 可确保访问者与 Cloudflare 域之间以及 Cloudflare 与 Web 服务器之间的安全连接。
要在启用完全 SSL 选项之前避免 525 错误,请将源 Web 服务器配置为允许端口 443 上的 HTTPS 连接,并提供自签名 SSL 证书、Cloudflare Origin CA 证书或从证书颁发机构购买的有效证书。
完全(严格)
完全(严格) 可确保访问者与 Cloudflare 域之间以及 Cloudflare 与源 Web 服务器之间的安全连接。完全(严格)支持针对 CNAME 目标进行 SSL 主机名验证。
配置源 Web 服务器以允许端口 443 上的 HTTPS 连接,并提供 Cloudflare Origin CA 证书或从证书颁发机构购买的有效证书。此证书必须由 Cloudflare 信任的证书颁发机构签名,而到期日期须为未来的日期,并涵盖所请求的域名(主机名)。
严格(SSL - 仅 Origin Pull)
严格(仅 SSL Origin Pull)仅适用于 Enterprise 区域。它与 Authenticated Origin Pull 完全无关。无论访问者请求哪种方案,都将始终使用 SSL/TLS 加密(HTTPS)建立到源站的连接。源 Web 服务器提供的此 SSL 证书必须由 Cloudflare 信任的证书颁发机构签名,而到期日期须为未来的日期,并涵盖所请求的域名(主机名)。
SSL/TLS 推荐器
要检查您的域是否与较安全的 SSL/TLS 模式兼容,请启用 SSL/TLS 推荐器。SSL/TLS 推荐器会检查站点中的内容通过 HTTP 提供和通过 HTTPS 提供两者相比的差异,也会检查您的站点是否配置了有效的 TLS 证书。根据检查结果并对加密和未加密连接递归爬网,它会建议可在保留内容的同时最大程度提高安全性的模式。
启用之后,SSL/TLS 推荐器会向区域所有者发送一封含有 SSL/TLS 模式建议(如果有)的电子邮件。SSL/TLS 页面上推荐模式旁边会显示“Recommended by Cloudflare”标签。如果没有收到电子邮件,那么建议是保持当前模式。您不一定要使用建议。推荐器会定期运行,并在有新的建议时发送通知。建议绝不会比当前的 SSL/TLS 模式低。
SSL/TLS 推荐器并不能解决与网站或域功能相关的问题。在以下情形中,推荐器将无法完成扫描并显示“Recommended by Cloudflare”标签:
- 域不起作用;
- 您为网站启用了 Cloudflare Workers®;
- 您阻止了所有机器人;或者
- 存在任何有效的 SSL 相关页面规则。
相关资源
学习
故障排除