解决 SSL 错误

对浏览到通过 Cloudflare 代理的域时观察到的常见 SSL 错误进行故障排除。


概述

在 Cloudflare 为您的域提供 SSL 证书之前,各种浏览器中会出现 HTTPS 流量的以下错误:

Firefox

     ssl_error_bad_cert_domain
     此连接不受信任

Chrome

     您所用连接不是专用连接

Safari

     Safari 无法验证网站的身份

Edge/Internet Explorer

     此网站的安全证书存在问题

即使为您的域配置了 Cloudflare SSL 证书,旧版浏览器也会显示有关不受信任的 SSL 证书的错误,因为它们不支持 Cloudflare Universal SSL 证书使用的服务器名称指示(SNI)协议

否则,如果在使用新版浏览器时出现 SSL 错误,请查看以下常见的 SSL 错误原因:


重定向循环错误或 HTTP 525 或 526 错误

表现

访问者在浏览到您的域时发现重定向循环错误,或观察到 HTTP 525526 错误。当 Cloudflare SSL/TLS 应用中的当前 Cloudflare SSL 选项与您的源 Web 服务器配置不兼容时,会发生这些错误。

解决方案

有关重定向循环的信息,请参阅我们的解决重定向循环错误指南。

要解决 HTTP 525526 错误,请参阅下面推荐的 SSL 配置。例如,如果您的源 Web 服务器...


仅部分子域返回 SSL 错误

表现

Cloudflare Universal SSL 和常规Dedicated SSL 证书仅涵盖根级域(example.com)和一级子域(*.example.com)。如果域的访问者在其浏览器中访问二级子域(例如 dev.www.example.com)时发现错误,而不是一级子域(例如 www.example.com),则使用以下方法之一解决问题。

解决方案

  • 确保域至少在 Business 计划中,并上传涵盖 dev.www.example.com自定义 SSL 证书,或者
  • 购买涵盖 dev.www.example.com 附带自定义主机名的 Dedicated SSL 证书,或者
  • 如果您的源 Web 服务器上的二级子域具有有效证书,请单击 Cloudflare DNS 应用中 dev.www 主机名旁 example.com 的橙色云图标。

您的 Cloudflare Universal SSL 证书未激活

表现

所有激活的 Cloudflare 域都提供 Universal SSL 证书。如果您发现 SSL 错误,并且在 Cloudflare SSL/TLS 应用的边缘证书部分中您的域没有类型Universal 的证书,则尚未配置 Universal SSL 证书。

Cloudflare SSL 证书仅适用于通过 Cloudflare 代理的流量。如果只有未代理到 Cloudflare 的主机名发生 SSL 错误,请通过 Cloudflare 代理这些主机名:
  • 对于“完整 DNS”设置的域,请单击 Cloudflare DNS 应用中 DNS 主机名旁边的灰色云图标,直到该图标变为橙色云。
  • 对于 CNAME 设置中的域,请查看我们的将 DNS 记录添加到 CNAME 设置指南。

在 Cloudflare 为域名发出证书之前,我们的 SSL 供应商会验证每个 SSL 证书请求。此过程可能需要 15 分钟到 24 小时。我们的 SSL 证书供应商有时会标记域名以供进一步审核。

解决方案

如果您的域位于 CNAME 设置中:

与您当前的托管提供商确认是否已启用 CAA DNS 记录。如果是,请确保指定 Cloudflare 用于为您的域提供证书的证书颁发机构

如果您的域在 Cloudflare SSL/TLS 应用的禁用 Universal SSL 部分下禁用了 Universal SSL

如果在 Cloudflare 域激活后 24 小时内未发出 Cloudflare SSL 证书:

  • 如果您的源 Web 服务器具有有效的 SSL 证书,则暂停 Cloudflare,并
  • 打开支持票证以提供以下信息:
    • 受影响的域名,以及
    • 您观察到的错误的屏幕截图。

在支持团队调查此问题时,暂停 Cloudflare 将允许从您的源 Web 服务器正确提供 HTTPS 流量。

如果您的域位于 CNAME(部分)设置中,请按照我们的在 CNAME 设置上配置 Cloudflare Universal SSL 指南操作。

OCSP 响应错误

表现

您站点的访问者发现 OCSP 响应错误。

解决方案

此错误可能是由浏览器版本造成的,也可能是由需要 Cloudflare 的 SSL 供应商之一注意的问题造成的。为了正确诊断,请打开支持票证,其中包含观察到浏览器错误的访问者提供的以下信息:

  1. 来自 https://aboutmybrowser.com/ 的输出
  2. 来自访问者浏览器的 https://example.com/cdn-cgi/trace 的输出。将 example.com 替换为您网站的域名。

SSL 已过期或 SSL 不匹配错误

表现

访问者在浏览器中发现有关 SSL 过期或 SSL 不匹配的错误消息。

解决方案

如果使用自定义 SSL 证书,请先验证它是否已过期或上传替换 SSL 证书。

联系 Cloudflare 支持团队并提供以下信息:

  • 受影响的域名,以及
  • 您观察到的错误的屏幕截图。

相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持