社區提示 - 安全性常見問題

請在發佈前閱讀一遍

請檢閱本貼文及內部連結的貼文,並使用右上角的 :search: 搜尋您的問題。本「社群提示」包含有關 SSL/TLS 的最常見問題及答案,:search: 將提供額外建議和見解。

背景
本「安全性常見問題」涵蓋 Cloudflare SpectrumCloudflare Access、免費 Universal SSL、邊緣憑證、自我簽署憑證和源站憑證、TLS、HSTS,以及 SSL/TLS 應用程式上的任何其他內容。

重新導向迴圈
如果您正在 Cloudflare SSL/TLS 應用程式的「概觀」索引標籤下使用「靈活 SSL」模式,且正在您的源站強制執行 HTTPS,這極有可能是問題的原因。靈活模式在運作時 不會 加密源站和 Cloudflare 之間往返的流量。因為您的源站正在強制執行 https,要求之後被重新導向至 Cloudflare,然後 Cloudflare 再次嘗試傳送同一 http 要求,從而產生無限迴圈。該問題在此知識庫指南中進行了討論 - 為什麼「靈活 SSL」會導致重新導向迴圈?

您可以採取以下方案來修復此問題:

透過本社群教程
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646 深入瞭解 SSL。

子網域太深/自訂憑證和延伸驗證憑證
請注意,當 Cloudflare 在您的區域內成功佈建「Universal SSL」產品後,這些憑證將僅涵蓋單一子網域層級(*.example.com,而不是 *.*.example.com):

  • 適用於 - www.example.com
  • 適用於 - example.com
  • 適用於 - test.example.com
  • 不適用於 - www.test.example.com
  • 不適用於 - staging.www.example.com

如果您需要涵蓋多層級子網域的憑證,可以購買帶有自訂主機名稱的專用 SSL 憑證,購買時您可在其中宣告任何多層級子網域。

如果您更想要使用自己的憑證,而不是我們提供的 Universal SSL 憑證,則需要升級至 Business 方案並上傳自訂憑證

請注意,Cloudflare 目前不提供「延伸驗證」憑證,如果您想要使用此類憑證,則需要單獨購買,並使用自訂 SSL 上傳將其上傳至您的 Cloudflare 帳戶。

或者,也可以選擇購買進階憑證管理器,並建立帶有自訂主機名稱的專用憑證。

瞭解進階憑證管理器
管理專用 SSL 憑證

受支援的用戶端(僅限 SNI)

我們的付費方案(Pro、Business 和 Enterprise)包含的 SSL 憑證適用於所有桌面瀏覽器,因此,如果您擔心相容性問題或有許多使用者在使用舊版瀏覽器,建議升級至我們的付費方案。

專用憑證和 Universal SSL 都使用採用橢圓曲線數位簽章演算法 (ECDSA) 的伺服器名稱指示 (SNI) 憑證。SNI 和 ECDSA 憑證適用於以下新式瀏覽器:

安裝在 Windows Vista 或 OS X 10.6 或以上版本之上的桌面瀏覽器:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8(支援 TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

行動裝置瀏覽器

  • 用於 iOS 4.0 的行動裝置 Safari
  • Android 3.0 (Honeycomb) 及以上版本
  • Windows Phone 7

請注意,與您的網站通訊的任何 API 服務或付款閘道都必須也支援 SNI 和 ECDSA,才能透過 Cloudflare 連線至您的網站。

SSL 模式 - SSL 至源站

Cloudflare 提供以下 SSL 模式:

  1. 靈活 SSL:SSL 在 Cloudflare 邊緣伺服器處終止。您的用戶端與 Cloudflare 之間的所有內容都會加密,Cloudflare 與您的源站之間的內容不會加密。您不需要為此購買憑證。
  2. 完全 SSL:SSL 在 Cloudflare 邊緣伺服器處終止。然後它會再次加密,並在全部加密的情況下傳送回您的伺服器。您需要在您的伺服器上安裝 SSL 憑證。您可以使用自我簽署憑證。
  3. 完全 SSL(嚴格):與「SSL 完全」模式相同,但您必須擁有由憑證授權單位(如 GlobalSign)簽署的憑證。如果您想要啟用「完全嚴格」模式,則應在主機上安裝免費的 Cloudflare 源站憑證

可在 [此處] (https://support.cloudflare.com/hc/en-us/articles/200170416) 查看我們 SSL 設定的完整概觀。

如果您想要使用「完全」或「完全(嚴格)」設定選項,則需要在原始網頁伺服器上安裝憑證。

如果您使用「完全(嚴格)」選項,此 SSL 憑證必須有效,且由憑證授權單位或我們的 Origin CA 服務簽署。

混合內容錯誤和重新導向迴圈

如果您在透過 HTTPS 連線時注意到瀏覽器中綠色鎖頭缺失,則可能是發生了混合內容問題。混合內容錯誤表示您的網站是透過 HTTPS 載入的,但其中的部分資源是透過 HTTP 載入的。要修復此問題,您需要編輯來源程式碼,並將所有資源變更為透過相對路徑載入,或直接透過 HTTPS 載入。

例如,如果您透過完整 URL 載入影像:

<img src="http://example.com/image.jpg"/>

則可以將其變更為:

<img src="//example.com/image.jpg"/>

移除 http:,瀏覽器將使用訪客已經在使用的任何通訊協定。請參閱本文獲取更多資訊。或者,您也可以安裝 Mixed-Content Fixer 外掛程式,它會在這些區段中自動使用 https 取代 http。對於 Wordpress,我們使用 SSL Insecure Content Fixer 外掛程式成功解決過此問題。

一個可選方案是啟用自動改寫 HTTPS 功能,此功能有可能自動為您修復這些錯誤。請注意,由 JavaScript 或 CSS 載入的資源將不會自動重寫,仍會顯示混合內容警告。

這些問題通常與使用 Cloudflare 靈活 SSL 服務的使用者相關。您可以登入 Cloudflare 儀表板,按一下 SSL/TLS 應用程式的「概觀」索引標籤,然後向下查看 SSL 設定,以檢查自己是以「完全」還是「靈活」模式使用 Cloudflare 的 SSL 服務。

靈活 SSL 使用者

靈活模式在運作時 不會 加密源站和 Cloudflare 之間往返的流量。因為您的源站正在強制執行 https,要求之後被重新導向至 Cloudflare,然後 Cloudflare 再次嘗試傳送同一 http 要求,從而產生無限迴圈。我能夠確認您的網站確實在強制執行 HTTPS 重新導向。

您可以採取以下方案來修復此問題:

此外,Cloudflare 還會附加 X-Forwarded-Proto 標頭,依據使用者用於造訪網站的通訊協定,這可能是 http 或 https,如下所示:

X-Forwarded-Proto: https

當設定了「靈活 SSL」,且訪客透過 HTTPS 向 Cloudflare 發出要求 - Cloudflare 透過 HTTP 向源站發出要求。在此情況下,原始伺服器可以透過檢查此標頭來辨別出訪客使用的是 HTTPS。

未佈建憑證
檢視 DNS 應用程式記錄,以確保 ( example.com ) 和 www.example.comexample.com 具有橙色雲標記。

如要佈建 Cloudflare Universal SSL 憑證,您必須將任何所需的記錄進行橙色雲標記。在對 DNS 記錄進行橙色雲標記後,您的 Cloudflare Universal SSL 憑證將會開始佈建。

如需有關執行此操作的更多資訊,請參閱以下快速設定指南:

其他 SSL/TLS 錯誤

修復「錯誤 520:網頁伺服器傳回未知錯誤」
修復「錯誤 521:網頁伺服器當機」
修復「錯誤 525:SSL 交握失敗」
修復「錯誤 526:SSL 憑證無效」

如果您需要更多幫助
本社群的其他 Cloudflare 使用者也許能夠幫助您,請登入 Cloudflare 並將您的問題發佈到社群。當您在社群發佈貼文時,請確保盡可能包含以下資訊:您看到的具體錯誤訊息、發生問題的 URL、錯誤的螢幕擷取畫面以及重現錯誤的步驟。請註明您已經嘗試的疑難排解步驟,以便我們更好地幫助您。

歡迎提供專家見解
本「社群提示」始終都歡迎社群專家和熟悉此問題的人提供意見。我們非常欣賞「始終可以嘗試的三件事」、「先做這個」或「根據我的經驗」之類的評論。

這是一個 Cloudflare 社群提示,按一下此處可查看其他提示。

Çevirmek…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg: 翻譯此提示

AQSECT 030321