了解哪些 Cloudflare SSL 选项可加密 Cloudflare 与源 Web 服务器之间的 HTTPS 流量。
概述
Cloudflare SSL/TLS 应用中的 SSL 部分包含若干选项,可用于确定 Cloudflare 是否安全地连接到您的源 Web 服务器。
查看每个 SSL 选项的描述后,请根据您的源 Web 服务器 SSL 配置参阅我们的推荐 SSL 选项列表:
关闭 会为您的站点访问者禁用 HTTPS,而完全(严格)则提供端到端的最大流量安全性。
关闭
关闭 将禁用访问者与 Cloudflare 之间以及 Cloudflare 与源 Web 服务器之间的安全 HTTPS 连接。访问者只能通过 HTTP 查看您的网站。通过 HTTPS 尝试的任何连接都会导致 HTTP 301 重定向到未加密的 HTTP。
灵活
灵活 SSL 选项允许在访问者和 Cloudflare 之间建立安全的 HTTPS 连接,但会强制 Cloudflare 通过未加密的 HTTP 连接到源 Web 服务器。您的源 Web 服务器不需要拥有 SSL 证书,但访问者仍然会浏览该网站的 HTTPS 版本。
Full
完全 可确保访问者与 Cloudflare 域之间以及 Cloudflare 与 Web 服务器之间的安全连接。
要在启用完全 SSL 选项之前避免 525 错误,请将源 Web 服务器配置为允许端口 443 上的 HTTPS 连接,并提供自签名 SSL 证书、Cloudflare Origin CA 证书或从证书颁发机构购买的有效证书。
完全(严格)
完全(严格)可确保访问者与 Cloudflare 域之间以及 Cloudflare 与源 Web 服务器之间的安全连接。完全(严格)支持针对 CNAME 目标进行 SSL 主机名验证。
配置源 Web 服务器以允许端口 443 上的 HTTPS 连接,并提供 Cloudflare Origin CA 证书或从证书颁发机构购买的有效证书。此证书必须由 Cloudflare 信任的证书颁发机构签名,而到期日期须为未来的日期,并涵盖所请求的域名(主机名)。
严格(SSL - 仅 Origin Pull)
严格(仅 SSL Origin Pull)指示 Cloudflare 的网络始终使用 SSL/TLS 加密 (HTTPS) 连接至您的源 Web 服务器。源 Web 服务器提供的此 SSL 证书必须由 Cloudflare 信任的证书颁发机构签名,而到期日期须为未来的日期,并涵盖所请求的域名(主机名)。
SSL/TLS 推荐器
通过启用 SSL/TLS 推荐器检查您的域是否可以升级到更安全的 SSL 选项。
推荐器执行以下操作,以便在保留内容的同时最大程度提高安全性:
- 检查站点中的内容通过 HTTP 提供和通过 HTTPS 提供两者相比的差异
- 寻找有效的 SSL 证书
- 通过加密和未加密的连接以递归方式爬网
启用之后,SSL/TLS 推荐器会向区域所有者发送一封含有 SSL 选项建议(如果有)的电子邮件。SSL/TLS 页面上推荐选项旁边会显示 Recommended by Cloudflare 标签。如果没有收到电子邮件,请保持当前模式。您可以不遵循建议的操作。推荐器会定期运行,并在有新的建议时发送通知。推荐器建议的 SSL 选项绝不会比当前配置的更弱。
SSL/TLS 推荐器并不能解决与网站或域功能相关的问题。推荐器与 Cloudflare 的所有其他功能都不兼容,并且在以下情形中,推荐器将无法完成扫描并显示 Recommended by Cloudflare 标签:
- 您的域不起作用
- 您为网站启用了 Cloudflare Workers
- 您阻止了所有机器人
- 您有任何有效的 SSL 相关页面规则