SSL 常见问题

什么是 Universal SSL?
Universal SSL 是Cloudflare 的免费 SSL 产品。这允许用户以较低的成本(免费)保护传输的内容,以避免受到攻击者的侵袭。 

Universal SSL 与付费 SSL 有分别吗?

是的,有一些微妙的区别。两者最大的区别是 Universal SSL 使用 SNI。在有可能导致旧操作系统或浏览器出现问题。有关更多详细信息,请参阅此常见问题

SSL 是否适用于托管合作伙伴?

截至 2016 年 12 月 9 日,通过合作伙伴添加到 Cloudflare 的所有新域都启用了免费 SSL。 若要为在 2016 年 12 月 9 日之前已添加域的现有客户启用免费 SSL,必须删除并重新添加该域才能进行自动预配。

通过 CNAME 和完整的 DNS 设置,合作伙伴均可使用 SSL。请注意:“www”子域必须应通过 Cloudflare(橙色云处理)进行代理,才可以触发要颁布的证书。 

用户可否导出Cloudflare SSL 证书?

不可以,除了 Origin CA 证书可导出,以便您能够在原始服务器上安装之外,其他SSL 证书多不可以导出。注意,Origin CA 证书在 Cloudflare 网络之外是不受信任的。

Cloudflare SSL 证书是共享的吗?

对,Universal SSL 证书在多个域中是共享的,这些域可能不在您的帐户中。这些是支持多域的 SSL 证书。如果您想证书只用在您的域名上,我们建议使用 Cloudflare 专用 SSL (Dedicated SSL) 服务。

SSL 选项是什么意思?

您的 SSL 选项决定了 Cloudflare 如何使用加密或不使用加密连接到您的服务器。

  • 灵活 (Flexible)SSL:
    • SSL 在 Cloudflare 边缘服务器上终止。您的客户端与 Cloudflare 之间的所有内容均已加密,但 Cloudflare 与您原始服务器之间的流量不会加密。您无需在您服务器上安装任何证书即可进行完全加密。
  • 完全(Full) SSL:
    • SSL 在 Cloudflare 边缘服务器上终止。然后发送到您的服务器时,会再次进行加密。您需要直接在您服务器上安装 SSL 证书。您也还可以使用自签名的证书。
  • 完全严格(Full Strict)SSL:
    • 与完全 SSL 相同,但您必须具有由有效证书颁发机构(例如 GlobalSign 或 DigiCert)签名的可信证书。
  • 自定义 (Custom)SSL(仅限商业/企业版用户)
    • 客户能够上传自己的 SSL 密钥和证书,如果访问者检查证书的话,CloudFlare 的名称将不会显示在内。

我已经在自己的服务器上安装了一个证书,为什么还会看到 Cloudflare 证书?

当您使用 Cloudflare 时,我们必须在我们的边缘解密数据,以便缓存和过滤任何不良流量。视上述选项中的 SSL 设置而定,我们可能会对数据进行重新加密或作为纯文本发送(完整与弹性)。由于每个证书都需要一个专用 IP 地址,因此我们会将您的域名和 SAN(Subject Alt Name,主题替换名称)中的通配符 (*.domain.com) 域添加到证书中。

通过 https 访问我的站点时,我看到一条错误消息,这是怎么回事?
在 SSL 供应商可为您的域名颁发证书之前,需要经过审核流程。根据您的付费计划,这可能需要 15 分钟到 24 小时(付费与免费)。您可以在您的 Cloudflare 设置上查看证书的状态。您将看到状态为“Authorizing”、“Pending”或“Verified”。

24 小时以前我已经完成了 Cloudflare注册,为什么我的证书仍未通过验证呢?

在我们的供应商颁发证书前,您的域名可能需要进行其他审核。请创建一个ticket告诉我们,我们将联系 SSL 供应商进行进一步分析。

我想让 Cloudflare 在客户端访问时显示我自己的证书,我该怎么办?
现在这是功能只适合于商业版( Business) 和企业版 (Enterprise)的客户。有关详细信息,请访问本指南。 

为什么通过 HTTPS 加载我的网页时,我的 images/css/js 文件会丢失?
这一般是边缘处 SSL 终止的问题(即,灵活 SSL - Flexible SSL)。该问题出现的原因是因为您正在 https 页面上请求 http 资源。大多数现代浏览器对会因为安全理由而阻止这些加载请求。您可以通过加载与该协议 (HTTP/HTTPS) 有关的资产来解决此问题。 文件路径将类似于:
//domain.com/path/to.file
您可以在这里阅读关于这方面的更多信息。
根据您的 CMS,也可能会有模块/插件自动为您执行此操作。Cloudflare 通过 Automatic HTTPS Rewrites 提供了一种执行此操作的方式。
如果不确定这是否是您遇到的问题,可以在浏览器中打开“开发工具” (Dev Tools),然后查看“控制台”(console)选项。该错误可能类似于:

混合内容:“ https://domain.com/ ”上的页面是通过 HTTPS 加载的,但它请求了一个不安全的资源“http://domain.com/path/to.file”。该请求已被阻止;内容必须通过 HTTPS 提供。

  1. 您可以通过添加相关协议来解决这一问题,
  2. 或者在您的服务器上安装证书并使用 Cloudflare Full SSL。 

免费计划的 SSL 没法在旧版操作系统/浏览器上操作
Universal SSL 使用 SNI,这是一个相对较新的协议,旧版操作系统或浏览器不支持该协议。您可能会在旧版 Windows 甚至 cURL (*nix) 上获得 SSL 不受信任错误。

如果您不希望旧版浏览器或操作系统上的访问者在通过 https:// 访问您网站时遇到问题,请考虑升级到付费 Cloudflare 计划,以获得更广泛的操作系统和浏览器支持。 

如何强制我的站点只使用 HTTPS/SSL?
可以使用 Page Rule,以使用“Always use HTTPS”功能强制所有内容使用 HTTPS。请参阅 Page Rule 教程。 

我看到 52x 错误
1. 525
525 错误表明 Cloudflare 与托管域的原始服务器之间的 SSL 握手失败。这意味着 Cloudflare 设置为在域的 Cloudflare 设置中使用完全 SSL,因此 Cloudflare 会尝试使用 SSL(适用于以 https:// 开头的请求)连接到托管该域的服务器。
请在这里阅读关于这方面的更多信息。
2. 526
当 Cloudflare 无法成功验证源服务器上的 SSL 证书并且网站上的 Cloudflare SSL 配置设置为“完全 SSL(严格)”即 Full SSL (Strict) 时,会出现 HTTP 错误响应代码 526。
请在这里阅读关于这方面的更多信息。 

Cloudflare 使用何种加密套件?

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;
ssl_ciphers '[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';
ssl_prefer_server_ciphers on;

请在这里阅读关于此的更多信息。 

如何在我的服务器上安装证书?
Cloudflare 颁发的证书不会要求您在服务器上安装任何东西。该证书仅安装在 Cloudflare 上。您随时可以创建自签名证书,以及使用 完全 SSL(非严格)对您的站点进行端到端加密。有关完全 SSL 的更多信息,请仔细阅读此常见问题。

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持