コミュニティのヒント - エラー525:sslハンドシェイクに失敗しました

エラー
「エラー525: SSL handshake failed (SSL ハンドシェイクに失敗しました)」を解決するには、この「コミュニティからのヒント」にある提案を試してみてください。

背景
エラー525は、CloudflareとオリジンWebサーバー間のSSLハンドシェイクが失敗したことを示します。これは、ドメインがCloudflare FullまたはFull (Strict) SSLモードを使用しているときにのみ発生します。これは通常、オリジンWebサーバーの設定の問題によって引き起こされ、この場合、「エラー525: SSL handshake failed (SSL ハンドシェイクに失敗しました)」と表示されます。

迅速な解決のためのアイデア

  1. サイト訪問者の方は、サイト所有者に問題を報告してください。このコミュニティやCloudflareサポートでは、サポートできません。Cloudflareサポートは、ドメインの認証済み所有者についてのみ機能します。

  2. あなたのオリジンサーバーに、有効なSSL証明書がインストールされていることを確認してください。

  • オリジン証明書を表示するには、 203.0.113.34 をWebサーバーのオリジンIPアドレスに置き換え、www.example.com をドメイン名とホスト名に置き換えます:

$ curl -svo /dev/null https://www.example.com --connect-to ::203.0.113.34 2>&1 | egrep -v "^{.*$|^}.*$|^*http.*$"

  1. ホスティングプロバイダーがポート443、または使用している他のポートでリッスンしていることを確認してください。

  2. オリジンサーバーがSNIに正しく設定されていることを確認してください。

  3. Cloudflareが受け入れる暗号スイートと、オリジンサーバーがサポートする暗号スイートが一致しません。サーバーが使用している暗号スイートを確認して、Cloudflareがサポートする暗号スイートと一致していることを確認してください。暗号スイートは、Transport Layer Security(TLS)または、現在は非推奨で前身のSecure Socket Layer(SSL)を使用するネットワーク接続を保護する一連のアルゴリズムです。暗号スイートに通常含まれる一連のアルゴリズムには、鍵交換アルゴリズム、一括暗号化アルゴリズム、メッセージ認証コード(MAC)アルゴリズムがあります。

  4. もしあなたがサイト所有者で、間欠的にエラーを見ているだけであれば、これはCloudflareとあなたのオリジン間のTCP接続が、SSLハンドシェイク中にリセットされ、エラーを引き起こしていることを示唆しています。ホスティングプロバイダーまたはシステム管理者に、サーバーに問題がないかどうかを確認してください。Webサーバーのアクセス/エラーログを確認することは、この情報を突き止めるのに適しています。

  5. Apacheがmod_sslエラーをログに記録するように設定する必要があり、nginxにはこれらのエラーが標準エラーログに含まれていますが、ログレベルを上げなければならない場合があることに注意してください。

  6. Cloudflareを一時停止するか、ローカルのホストファイルを更新して、サーバーがSSL証明書を提示しているかどうかをテストするために、サーバーIPを直接指すようにしてください。サーバーに証明書がインストールされていない場合は、オリジンCA証明書を使用して証明書を生成できます。これは、CloudflareとあなたのWebサーバー間の接続を暗号化するための無料の証明書であり、証明書を購入する必要はありません。

  7. cURLコマンドでオリジンにポート443を指定して error:1408F10B:SSL routines:ssl3_get_record:wrong version numberエラーが発生した場合、CloudflareダッシュボードにあるSSL/TLSアプリのEdge証明書タブで、TLS 1.3を無効化してください。現在サポートされているTLSバージョンを判断するには、以下のcURLコマンドを使用します。MYORIGINIPを、CloudflareダッシュボードにあるDNSアプリのAレコードに表示されるIPアドレスに置き換え、また、www.example.com をあなたのドメインに置き換えます:
    $ curl -svo /dev/null https://www.example.com --connect-to ::MYORIGINIP 2>&1 | egrep -v "^{.*$|^}.*$|^* http.*$"
    cURLに以下のオプションのいずれかを追加して、特定のTLSバージョンをテストしてください。

  • --tlsv1.0
  • --tlsv1.1
  • --tlsv1.2
  • --tlsv1.3

関連情報
https://support.cloudflare.com/hc/en-us/articles/115003011431#525error

コミュニティチュートリアル
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646

ラーニングセンター
SSLとは? | SSLおよびTLS

バックグラウンドリソース
ヘルプセンター
YouTube

問題の調査
コミュニティ
Google

さらにヘルプが必要な場合
他のCloudflareユーザーによるこのコミュニティがお客様をサポートできるかもしれません。Cloudflareにログイン して、コミュニティに質問を投稿してください。コミュニティに投稿する際は、表示されている特定のエラーメッセージ、そのエラーが発生しているURL、エラーのスクリーンショット、エラーを再現するための手順など、できるだけ多くの情報を含めるようにしてください。お客様が既にお試しになったトラブルシューティングの方法も記載してください。

これはCloudflareコミュニティからのヒントです。他のヒントを確認するには こちらをクリックしてください

:greyg: このヒントを翻訳する

FXHFCT 103119