Learn the benefits and limitations of Cloudflare’s free Universal SSL certificates and determine when Universal SSL is appropriate for your domain.
Overview
Universal SSL refers to the free SSL certificate that Cloudflare issues to customers within 24 hours of their domain activation and requires proxying traffic through Cloudflare in order to provision the certificate.
当证书颁发机构仍在处理域的证书时,Cloudflare SSL / TLS 应用中将显示 SSL 授权的 Universal SSL 状态。
Universal SSL 仅用于加密站点访问者与 Cloudflare 之间的流量,不会加密 Cloudflare 与源站 Web 服务器之间的流量。如需详细了解 Cloudflare 与源站 Web 服务器之间的加密,请查阅 SSL/TLS 加密模式和 Cloudflare 源站证书。
Universal SSL provisioning time strictly depends on certain security checks and other requirements mandated by Certificate Authorities (CA).
Cloudflare 颁发 Universal SSL 证书时并不需要源站 Web 服务器 SSL 证书。但是,Cloudflare 建议安装 Cloudflare 源站证书,以确保 Cloudflare 与源站 Web 服务器之间的通信得到加密。
要保证 Cloudflare 与源站 Web 服务器之间的 SSL 加密,请将 Cloudflare SSL/TLS 应用中的SSL/TLS 加密模式设置为 Full 或 Full (strict)。
Limitations
Universal SSL 证书受制于它们所其涵盖的主机名以及它们所支持的客户端浏览器。
Hostname coverage
Full Setup
Universal SSL 证书仅支持根或一级子域(例如 example.com 和 www.example.com)的 SSL。若要在第二、第三和第四级子域(例如 dev.www.example.com 或 app3.dev.www.example.com)上启用 SSL 支持,您可以:
- 购买高级证书管理器功能
- Upgrade to a Business or Enterprise plan to upload a Custom SSL certificate.
CNAME Setup
在 CNAME 设置区域中,每个代理子域都部署了一个 Universal SSL 证书。这意味着多级子域将部署自己的 Universal SSL 证书(这一点与 Full 设置不同),并且不需要其他功能以获得支持。
Browser support
Universal SSL 使用带有椭圆曲线数字签名算法(ECDSA)的服务器名称指示(SNI)证书。对于通用、专用、自定义或自定义主机名证书,Cloudflare 支持可以为 Pro、Business 或 Enterprise 计划中的域启用非 SNI 支持。SNI 和 ECDSA 证书可与如下现代浏览器搭配使用:
Desktop Browsers installed on Windows Vista or OS X 10.6 or later:
- Internet Explorer 7
- Firefox 2
- Opera 8 (with TLS 1.1 enabled)
- Google Chrome v5.0.342.0
- Safari 2.1
Mobile Browsers:
- Mobile Safari for iOS 4.0
- Android 3.0 (Honeycomb) and later
- Windows Phone 7
禁用 Universal SSL
有些 Cloudflare 客户为了遵守标准操作程序或所在组织的策略,需要管理自己的 SSL 证书。还有些客户只信任特定的证书颁发机构(CA),它们会排斥 Cloudflare 用于配置 SSL 证书的 CA。在您首次上传自己的 自定义 SSL 证书后,就可以通过 Cloudflare 仪表板的 SSL/TLS 应用来禁用 Universal SSL。
What happens if I disable Universal SSL?
Disabling Universal SSL removes a domain’s Universal SSL certificates from the Cloudflare network. Cloudflare will not order or renew Universal SSL certificates until Universal SSL is re-enabled.
通过 Cloudflare 禁用网站的 SSL(通用和自定义)时,如果访问使用以下功能的域,可能会发生错误:
- HSTS
- Always Use HTTPS
- Opportunistic Encryption
- Any Page Rules redirecting traffic to HTTPS
- HTTP 到 HTTPS 的重定向都在源站 Web 服务器上进行
为避免访问您网站的流量出现错误,请在禁用 Universal SSL 之前上传自定义证书或购买专用 SSL 证书。
How do I disable Universal SSL?
To disable Universal SSL:
- 登录 Cloudflare 仪表板。
- 点击要禁用 Universal SSL 的域的相应 Cloudflare 帐户。
- 确保选择了正确的域。
- 点击 SSL/TLS 应用。
- 滚动到禁用 Universal SSL部分。
- 点击禁用 Universal SSL,此时将出现确认对话框。
- 阅读确认中的警告。
- 选中我理解,然后点击确认。