SSL 常见问题

什么是 Universal SSL?
Universal SSL 是我们的  免费 SSL 服务。这允许以较低价格(免费)保护用户的传输内容,以避免受到攻击者的侵袭。  

Universal SSL 与付费 SSL 之间是否存在区别?

是,有一些细微区别,而这些区别通常不会让您的客户注意到。最大的区别是  Universal SSL  使用的 SNI 技术相对于付费 SSL 所用的技术较新。这通常会导致旧版操作系统或浏览器出现问题。这一问题将通过以下章节进行说明: 常见问题.

SSL 是否适用于托管合作伙伴?

自 2016 年 12 月 9 日起,通过合作伙伴新添加到 Cloudflare 的所有域已启用免费 SSL。  若要为在 2016 年 12 月 9 日之前已添加域的现有客户启用免费 SSL,必须删除并重新添加该域才 能进行自动预配。

SSL 适用于通过 CNAME 和完全 DNS 集成的合作伙伴。请注意,为了实现成功发布,“www”子域应通过 Cloudflare(橙色云处理)进行代理,这将触发要颁布的证书。  

Cloudflare SSL 可导出吗?

不可以。唯一的例外是可导出的原始 CA 证书,以便您可以安装在原始服务器上。请注意,原始 CA 证书在 Cloudflare 网络之外不受信任。

弹性 SSL 和完全 SSL 的含义是什么?

  • 弹性 SSL:
    • SSL 终止于 Cloudflare 边缘服务器。您的客户端与 Cloudflare 之间的所有内容都将加密,但 Cloudflare 与您的源服务器之间的所有内容不会加密。无需在您的服务器上直接安装证书即可获得完全加密。
  • 完全 SSL:
    • SSL 终止于 Cloudflare 边缘服务器。然后重新进行加密,并在完全加密后发送回您的服务器。您需要直接在您的服务器上安装 SSL 证书才能使用此选项。您还可以将自签名证书用于此选项。
  • 完全 SSL(严格):
    • 与完全 SSL 相同,但您必须具有由 GlobalSign 等 CA(证书颁发机构)签名的证书。
  • 自定义 SSL(仅限 商业/企业 计划)
    • 采用这些计划的客户能够上传自己的 SSL 密钥和证书,因此如果访问者检查证书,Cloudflare 的名称将不会显示。

我在自己的服务器上安装了一个证书,为什么会看到 Cloudflare 证书?

当您使用 Cloudflare 时,我们必须解密位于我们边缘的数据,以便缓存和过滤任何不良流量。视上述 SSL 设置而定,我们可能会对数据进行重新加密或作为纯文本发送(完整与弹性)。由于每个证书都需要一个专用 IP 地址,因此我们会将您的域名和 SAN(Subject Alt Name,主题替换名称)中的通配符 (*.domain.com) 域添加到证书中。

通过 https 访问我的站点时,我看到一条错误消息,这是怎么回事?
为了让我们的 SSL 供应商为您的域名颁发证书,需要在颁发证书之前进行审核。视您的计划而定,这可能需要 15 分钟到 24 小时(付费与免费)。到域的 Cloudflare 设置即可查看您的证书的状态。您会看到正在授权、等待处理或已完成验证三种状态之一。

在我完成注册 Cloudflare 已过去 24 小时,但我的证书仍未通过验证?

在我们的供应商颁发证书之前,您的域名可能已标记为需要进行额外审查。请创建一 个告知我们的工单,我们会联系我们的 SSL 供应商,以便进一步分析。

我想让 Cloudflare 在客户端访问时显示我的证书,我该怎么办?
这是提供给我们的商业和企业客户的高级功能。您可以按照  此处的本指南操作.

 

为什么通过 HTTPS 加载我的网页时,我的图片/CSS/JS 文件会丢失?
这通常是 SSL 终止于边缘(又称为弹性 SSL)导致的问题。该问题是您正在请求 https 页面上的 http 资产。大多数现代浏览器出于安全目的会阻止这些加载请求。通过加载与协议 (HTTP/HTTPS) 有关的资产即可解决该问题。文件路径如下所示:
//domain.com/path/to.file
最好从  此处开始阅读。
视您的 CMS 而定,可能会有模块/插件为您自动执行此操作。Cloudflare 通过  Automatic HTTPS Rewrites.
如果不确定这是否是您遇到的问题,可以在浏览器中打开“开发工具”,然后查看“控制台”选项卡。该错误的内容可能如下所示:

混合内容:“https://domain.com/”上的页面通过 HTTPS 加载,但请求了一个不安全的资源“http://domain.com/path/to.file”。该请求已被阻止;内容必须通过 HTTPS 提供。

  1. 您可以通过添加相关协议来解决这一问题
  2. 或者在您的服务器上安装证书,然后使用“完整 SSL”选项。

 

基于我的免费计划的 SSL 在旧版操作系统/浏览器上不工作
通用 SSL 使用 SNI,这一相对较新的协议不受较旧的操作系统或浏览器支持。您可能会在较旧版本的 Windows、甚至 cURL (*nix) 上收到 SSL 不受信任的错误。

如果您不希望使用较旧浏览器或操作系统的访问者在通过 https:// 访问您的站点时遇到问题,那么您应该考虑升级到  付费 CloudFlare 计划 以获得更广泛的操作系统和浏览器支持。

 

如何强制我的站点只使用 HTTPS/SSL?
可以使用 Page Rule,以使用“始终使用 HTTPS”功能强制所有内容使用 HTTPS。  关于 Page Rule 的教程。

 

我看到 52x 错误
1. 525
525 错误指出,Cloudflare 和托管该域的源服务器之间的 SSL 握手失败。这意味着 Cloudflare 设置为在域的 Cloudflare 设置中使用完全 SSL,因此 Cloudflare 会尝试使用SSL(适用于以 https:// 开头的请求)连接到托管该域的服务器。
更多信息 此处开始阅读。
2. 526
当 Cloudflare 无法成功验证源 Web 服务器上的 SSL 证书并且网站上的 Cloudflare SSL 配置设置为“完全 SSL(严格)”时,会出现 HTTP 错误响应代码 526。  
更多信息 此处开始阅读。

 

Cloudflare 使用何种加密套件?

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;
ssl_ciphers '[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';
ssl_prefer_server_ciphers on; 

附加信息 此处开始阅读。

 

如何在我的服务器上安装证书?
Cloudflare 颁发的证书不需要在您的服务器上进行任何安装。证书仅安装在 Cloudflare 上。始终可以创建自签名证书,以及使用完全 SSL(非严格)来对您的站点进行端到端加密。有关完全 SSL 的更多信息,请查看本“常见问题”,了解此选项的含义。

Still not finding what you need?

The Cloudflare team is here to help. 95% of questions can be answered using the search tool, but if you can’t find what you need, submit a support request.

由 Zendesk 提供技术支持