错误
尝试此社区提示中的建议,以协助修复错误 525:SSL 握手失败。
背景
525 错误表示 Cloudflare 与源 Web 服务器之间的 SSL 握手失败。只有当域在使用 Cloudflare“完全”或“完全(严格)SSL 模式时才会发生这种情况。这通常是因源 Web 服务器中的配置问题所引起,发生这种情况时,您会看到“错误 525:SSL 握手失败”。
快速修复方法
-
如果您是网站访问者,请将问题报告给网站所有者。本社区与 Cloudflare 支持都无法为您提供帮助。Cloudflare 支持只能与验证过的域所有者合作。
-
确保您已在源服务器上安装有效的 SSL 证书。
- 要显示您的源证书,应使用 Web 服务器的源 IP 地址替换 192.0.2.0 ,然后使用域名和主机名称替换
www.example.com:
$ curl -svo /dev/null https://www.example.com --connect-to ::192.0.2.0 2>&1 | egrep -v "^{.*$|^}.*$|^*http.*$"
-
咨询托管提供商,确保其正在侦听端口 443/您正在使用的其他端口。
-
检查以确保针对 SNI 正确配置了源服务器。
-
Cloudflare 接受的加密套件与源服务器支持的加密套件不匹配。查看服务器正在使用的加密套件,以确保其与 Cloudflare 支持的加密套件相匹配。加密套件是一组算法,可帮助保护使用传输层安全性 (TLS) 或其现已弃用的前身安全套接字层 (SSL) 的网络连接。加密套件的这组算法通常包括:密钥交换算法、批量加密算法和消息身份验证代码 (MAC) 算法。
-
如果您是站点所有者并且仅间歇性发现错误,则表明 Cloudflare 和源站之间的 TCP 连接在 SSL 握手期间遭到重置,进而导致错误。要求托管提供商/系统管理员检查是否有任何服务器问题。查看 Web 服务器访问/错误日志是查找这一信息的好方法。
-
请注意,必须对 Apache 进行配置,以记录 mod_ssl 错误,并且 nginx 将这些错误包含到其标准错误日志中,但可能需要增加日志级别。
-
暂停 Cloudflare 或更新本地主机文件以直接指向您的服务器 IP,从而测试服务器是否存在 SSL 证书。如果您未在服务器上安装证书,可使用我们的 Origin CA 证书生成一个证书。这是一个免费证书,可用于对 Cloudflare 和 Web 服务器之间的连接进行加密,因此您无需购买证书。
-
如果 cURL 指向端口 443 上的源并收到错误
error:1408F10B:SSL routines:ssl3_get_record:wrong version number,应在 Cloudflare Dashboard 中 SSL/TLS 应用程序的“边缘证书”选项卡上禁用 TLS 1.3。要确定当前支持的 TLS 版本,请使用以下 cURL 命令,用 Cloudflare Dashboard 中 DNS 应用程序的 A 记录上显示的 IP 地址替换MYORIGINIP,然后用您的域名替换www.example.com:
$ curl -svo /dev/null https://www.example.com --connect-to ::MYORIGINIP 2>&1 | egrep -v "^{.*$|^}.*$|^* http.*$"
通过将以下其中一个选项添加到您的 cURL 来测试具体的 TLS 版本:
- --tlsv1.0
- --tlsv1.1
- --tlsv1.2
- --tlsv1.3
精简阅读
https://support.cloudflare.com/hc/en-us/articles/115003011431#525error
社区教程
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646
学习中心
什么是 SSL? | SSL 和 TLS
如果您需要更多帮助
本社区中的其他 Cloudflare 用户可能能够帮助您,登录 Cloudflare 并将问题发布到社区。当您在社区上发帖时,请确保尽可能多地包含以下信息:您看到的具体错误消息、发生这种情况的 URL、错误的屏幕截图以及重现错误的步骤。请说明您尝试了哪些故障排除步骤,以便我们为您提供帮助。
这是 Cloudflare 社区提示,要查看其他提示,请单击此处。
Çevirme…traduzir…翻译…traducir…Traduire…Übersetzen…
翻译此提示
FXHFCT 103119