เคล็ดลับชุมชน - คำถามที่พบบ่อยเกี่ยวกั บการรักษาความปลอดภัย

โปรดอ่านก่อนโพสต์

โปรดทบทวนโพสต์นี้และโพสต์ที่เชื่อมโยงและใช้ :ค้นหา: ที่มุมบนขวาเพื่อค้นหาคำถามของคุณ เคล็ดลับของชุมชนนี้มีคำถามและคำตอบให้กับคำถามที่ถามบ่อยเกี่ยวกับ SSL/TLS โดยคำว่า :ค้นหา: จะแสดงคำแนะนำและข้อมูลเชิงลึกเพิ่มเติม

ความเป็นมา
คำถามที่ถามบ่อยเกี่ยวกับความปลอดภัยนี้มีเนื้อหาครอบคลุม Cloudflare Spectrum, Cloudflare Access, Free Universal SSL, Edge Certificates, Self Signed Certificates และใบรับรองต้นทาง, TLS, HSTS และอื่น ๆ ภายในแอป SSL/TLS

การวนลูปของการเปลี่ยนเส้นทาง
หากคุณกำลังใช้โหมด Flexible SSL ที่อยู่ใต้แท็บ Overview ของแอป Cloudflare SSL/TLS และคุณกำลังบังคับใช้ HTTPS ที่ต้นทางของคุณ นี่คือสาเหตุของปัญหาที่เป็นไปได้มากที่สุด โหมด Flexible ทำงานโดยการ ไม่ เข้ารหัสการรับส่งข้อมูลไปยังและจากต้นทางของคุณและ Cloudflare เนื่องจากต้นทางของคุณบังคับใช้ https และคำขอจะถูกเปลี่ยนเส้นทางไปยัง Cloudflare โดย Cloudflare จะพยายามส่งคำขอ http ชุดเดิม จนเกิดเป็นการวนลูปที่ไม่สิ้นสุด มีการกล่าวถึงปัญหานี้ไว้แล้วภายในคู่มือฐานความรู้นี้ -- เหตุใด Flexible SSL จึงทำให้เกิดการวนลูปของการเปลี่ยนเส้นทาง

คุณมีสองสามตัวเลือกเพื่อแก้ไขปัญหานี้:

เรียนรู้เพิ่มเติมเกี่ยวกับ SSL ในบทช่วยสอนชุมชนนี้
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646

โดเมนย่อยอยู่ลึกเกินไป/ใบรับรองที่กำหนดเองและใบรับรองการตรวจสอบเพิ่มเติม
เมื่อ Cloudflare จัดเตรียมข้อเสนอ “Universal SSL” ของเราในโซนของคุณสำเร็จแล้ว สิ่งที่ต้องทราบคือ ใบรับรองเหล่านี้จะครอบคลุมโดเมนย่อยระดับเดียวเท่านั้น (*.example.com ไม่ใช่ *.*.example.com):

  • ใช้ได้ - www.example.com
  • ใช้ได้ - example.com
  • ใช้ได้ - test.example.com
  • ใช้ไม่ได้ - www.test.example.com
  • ใช้ไม่ได้ - staging.www.example.com

หากคุณต้องการใบรับรองซึ่งครอบคลุมโดเมนย่อยหลายระดับ คุณสามารถซื้อใบรับรอง SSL เฉพาะพร้อมชื่อโฮสต์ที่กำหนดเองที่คุณสามารถประกาศโดเมนย่อยหลายระดับระหว่างการซื้อได้

หากคุณต้องการใช้ใบรับรองของคุณเองมากกว่าใบรับรอง Universal SSL ที่เราให้ไว้ คุณจะต้องอัปเกรดเป็นแผนธุรกิจของเราและอัปโหลด ใบรับรองที่กำหนดเอง

โปรดทราบว่า Cloudflare ยังไม่มีใบรับรอง “การตรวจสอบความถูกต้องเพิ่มเติม” ในขณะนี้ หากคุณต้องการใช้ใบรับรองนี้ คุณจะต้องซื้อแยกต่างหากก่อนใช้ Custom SSL upload เพื่ออัปโหลดใบรับรองดังกล่าวที่ซื้อมาไปที่บัญชี Cloudflare ของคุณ

หรือคุณอาจซื้อ Advanced Certificate Manager และทำใบรับรองเฉพาะโดยใช้ชื่อโฮสต์ที่คุณเลือกเอง

ทำความเข้าใจ Advanced Certificate Manager
การจัดการใบรับรอง SSL เฉพาะ

ลูกค้าที่สนับสนุน (SNI เท่านั้น)

ใบรับรอง SSL ของเราสำหรับแผนที่เรียกเก็บค่าบริการ (Pro, Business และ Enterprise) จะนำมาใช้ได้กับเบราว์เซอร์เดสก์ท็อปทั้งหมด ดังนั้นถ้าคุณกังวลเรื่องความเข้ากันได้ หรือมีผู้ใช้จำนวนมากที่ใช้เบราว์เซอร์รุ่นเก่า เราขอแนะนำให้อัปเกรดเป็นแผนชำระเงินแบบใดแบบหนึ่งแทน

ทั้งใบรับรองเฉพาะและ Universal SSL ต่างใช้ใบรับรองการระบุชื่อเซิร์ฟเวอร์ (SNI) โดยใช้อัลกอริทึมลายเซ็นดิจิทัล Elliptic Curve (ECDSA) ใบรับรอง SNI และ ECDSA ต่างทำงานกับเบราว์เซอร์รุ่นใหม่ ๆ ต่อไปนี้:

เดสก์ท็อปเบราว์เซอร์ที่ติดตั้งบน Windows Vista หรือ OS X 10.6 หรือใหม่กว่า:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (ที่เปิดใช้งาน TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

เบราว์เซอร์บนอุปกรณ์มือถือ

  • Mobile Safari สำหรับ iOS 4.0
  • Android 3.0 (Honeycomb) และใหม่กว่า
  • Windows Phone 7

โปรดทราบว่าบริการ API หรือเกตเวย์การชำระเงินใดๆ ที่สื่อสารกับไซต์ของคุณต้องรองรับ SNI และ ECDSA ด้วย เพื่อให้สามารถเชื่อมต่อกับเว็บไซต์ของคุณผ่าน Cloudflare ได้

โหมด SSL - SSL เข้ากับต้นทาง

Cloudflare เสนอโหมด SSL ต่อไปนี้:

  1. Flexible SSL: SSL จะสิ้นสุดลงที่เซิร์ฟเวอร์ Edge ของ Cloudflare อะไรก็ตามแต่ที่อยู่ระหว่างไคลเอนต์ของคุณและ Cloudflare จะถูกเข้ารหัส ส่วนที่อยู่ระหว่าง Cloudflare และต้นทางของคุณจะไม่ถูกเข้ารหัส คุณไม่จำเป็นต้องใช้ใบรับรองสำหรับทำการนี้
  2. Full SSL: SSL จะสิ้นสุดลงที่เซิร์ฟเวอร์ Edge ของ Cloudflare หลังจากนั้น ระบบจะเข้ารหัสอีกครั้ง และส่งกลับในแบบเข้ารหัสทั้งหมดไปยังเซิร์ฟเวอร์ของคุณ คุณจะต้องติดตั้งใบรับรอง SSL บนเซิร์ฟเวอร์ของคุณ คุณสามารถใช้ใบรับรองที่ลงนามด้วยตนเองสำหรับตัวเลือกนี้
  3. Full SSL (Strict): เหมือนกับ SSL Full แต่คุณต้องมีใบรับรองที่ลงนามโดย CA เช่น GlobalSign หากคุณต้องการเปิดใช้งานโหมด Full Strict คุณสามารถติดตั้งใบรับรองต้นทาง Cloudflare ฟรีบนโฮสต์ของคุณ

ดูภาพรวมทั้งหมดของการตั้งค่า SSL ได้จาก[ที่นี่] (https://support.cloudflare.com/hc/en-us/articles/200170416)

หากคุณต้องการใช้ตัวเลือกการกำหนดค่าแบบ Full หรือ Full (Strict) คุณจะต้องมีใบรับรองบนเว็บเซิร์ฟเวอร์ต้นทางของคุณ

หากคุณใช้ตัวเลือกแบบ Full (Strict) ใบรับรอง SSL นี้ต้องนำมาใช้ได้จริงและลงนามโดยผู้ออกใบรับรองหรือใช้บริการ Origin CA ของเรา

ข้อผิดพลาดเนื่องจากเนื้อหาปนกันและการวนลูปของการเปลี่ยนเส้นทาง

หากคุณสังเกตเห็นว่าแม่กุญแจสีเขียวหายไปจากเบราว์เซอร์ของคุณเมื่อเชื่อมต่อผ่าน HTTPS สาเหตุอาจมาจากเนื้อหาปนกัน ข้อผิดพลาดเนื่องจากเนื้อหาปนกันหมายความว่าเว็บไซต์ของคุณกำลังโหลดผ่าน HTTPS แต่ทรัพยากรบางส่วนกำลังโหลดผ่าน HTTP หากต้องการแก้ไขปัญหานี้ คุณจะต้องแก้ไขรหัสต้นทางและเปลี่ยนทรัพยากรทั้งหมดเพื่อโหลดผ่านเส้นทางที่เกี่ยวข้อง หรือผ่าน HTTPS โดยตรง

ตัวอย่างเช่น หากคุณโหลดภาพด้วย URL แบบเต็ม:

<img src="http://example.com/image.jpg" />

คุณต้องการเปลี่ยนเป็น:

<img src="//example.com/image.jpg" />

เมื่อลบ http: ออก เบราว์เซอร์จะใช้โปรโตคอลใดก็ตามที่ผู้เยี่ยมชมใช้อยู่แล้ว ดูรายละเอียดเพิ่มเติมได้จากบทความนี้ อีกทางเลือกหนึ่งคือ คุณสามารถติดตั้งปลั๊กอิน Mixed-Content Fixer ซึ่งควรแทนที่ http ด้วย https โดยอัตโนมัติในส่วนเหล่านี้ สำหรับ Wordpress เราแก้ไขได้ด้วยปลั๊กอิน SSL Insecure Content Fixer

อีกทางเลือกหนึ่งคือเปิดใช้งานคุณลักษณะ Automatic HTTPS Rewrites ที่สามารถแก้ไขข้อผิดพลาดเหล่านี้ให้คุณได้โดยอัตโนมัติ แต่ทรัพยากรที่โหลดโดย JavaScript หรือ CSS จะไม่ถูกเขียนใหม่โดยอัตโนมัติ และคำเตือนเนื้อหาปนกันจะยังคงปรากฏอยู่

ปัญหาเหล่านี้มักเกี่ยวข้องกับผู้ใช้บริการ Flexible SSL ของ Cloudflare คุณสามารถตรวจสอบว่าคุณกำลังใช้บริการ SSL ของ Cloudflare ในโหมด Full หรือ Flexible ได้โดยเข้าสู่ระบบแดชบอร์ด Cloudflare ของคุณและคลิกแท็บ Overview ของแอป SSL/TLS จากนั้นไปที่การตั้งค่า SSL

ผู้ใช้ Flexible SSL

โหมด Flexible ทำงานโดยการ ไม่ เข้ารหัสการรับส่งข้อมูลไปยังและจากต้นทางของคุณและ Cloudflare เนื่องจากต้นทางของคุณบังคับ https และคำขอจะถูกเปลี่ยนเส้นทางไปยัง Cloudflare โดย Cloudflare จะพยายามส่งคำขอ http ชุดเดิม จนเกิดเป็นการวนลูปที่ไม่สิ้นสุด ฉันสามารถยืนยันได้ว่าไซต์ของคุณบังคับใช้การเปลี่ยนเส้นทาง HTTPS จริง ๆ

คุณมีสองสามตัวเลือกเพื่อแก้ไขปัญหานี้:

นอกจากนี้ Cloudflare ยังผนวกเฮดเดอร์ X-Forwarded-Proto ซึ่งสามารถเป็น http หรือ https ก็ได้โดยขึ้นอยู่กับโปรโตคอลที่ผู้ใช้ใช้ในการเยี่ยมชมไซต์ ดังนี้:

X-Forwarded-Proto: https

เมื่อมีการตั้งค่า Flexible SSL และผู้เยี่ยมชมร้องขอ Cloudflare ผ่าน HTTPS - Cloudflare จะร้องขอไปยังต้นทางผ่าน HTTP ในสถานการณ์นั้น เซิร์ฟเวอร์ต้นทางสามารถตรวจสอบเฮดเดอร์นี้และบอกได้ว่าผู้เยี่ยมชมกำลังใช้ HTTPS

ไม่มีการจัดเตรียมใบรับรอง
ดูบันทึกของแอป DNS เพื่อยืนยันว่า ( example.com )และ www.example.com หรือ example.com เป็นสีส้ม

หากต้องการจัดเตรียมใบรับรอง Cloudflare Universal SSL คุณต้องเติมสีบันทึกที่จำเป็นทั้งหมดเป็นสีส้ม เมื่อบันทึก DNS เป็นสีส้มแล้ว ใบรับรอง Cloudflare Universal SSL ของคุณจะเข้าสู่ขั้นตอนเตรียมการใช้งาน

ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำเช่นนี้ได้จากคู่มือการตั้งค่าด่วนด้านล่าง:

ข้อผิดพลาด SSL/TLS อื่น ๆ

การแก้ไขข้อผิดพลาด 520: เว็บเซิร์ฟเวอร์กำลังส่งคืนข้อผิดพลาดที่ไม่รู้จัก
การแก้ไขข้อผิดพลาด 521: เว็บเซิร์ฟเวอร์ล่ม
การแก้ไขข้อผิดพลาด 525: กระบวนการแฮนด์เชค SSL
การแก้ไขข้อผิดพลาด 526: ใบรับรอง SSL ไม่ถูกต้อง

หากคุณต้องการความช่วยเหลือเพิ่มเติม
ชุมชนของผู้ใช้ Cloudflare คนอื่นๆ อาจช่วยคุณได้ เข้าสู่ระบบ Cloudflare และโพสต์คำถามของคุณเพื่อขอความช่วยเหลือจากชุมชน เมื่อคุณโพสต์ในชุมชน อย่าลืมแจ้งรายละเอียดเหล่านี้ให้ได้มากที่สุดเท่าที่จะเป็นไปได้: ข้อความแสดงข้อผิดพลาดเฉพาะที่คุณเห็น, URL ที่เกิดปัญหา ภาพหน้าจอของข้อผิดพลาด และขั้นตอนเพื่อสร้างข้อผิดพลาดอีกครั้ง คุณช่วยเราให้ช่วยเหลือคุณได้ด้วยการระบุขั้นตอนการแก้ไขปัญหาที่คุณได้ลองทำด้วยตัวเอง

ยินดีรับฟังความคิดเห็นของผู้เชี่ยวชาญ
เคล็ดลับของชุมชนนี้จะยังเปิดรับข้อมูลจากผู้เชี่ยวชาญของชุมชนและผู้ที่คุ้นเคยกับปัญหานี้ไปเรื่อย ๆ เราขอขอบคุณอย่างแท้จริงสำหรับความคิดเห็น เช่น “สามสิ่งที่ควรลองอยู่เสมอคืออะไร” หรือ “ทำอันนี้ก่อน” หรือ “จากประสบการณ์ของฉัน”

นี่คือเคล็ดลับของชุมชน Cloudflare หากต้องการดูเคล็ดลับอื่น คลิกที่นี่

Çevirmek…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg: แปลเคล็ดลับนี้

AQSECT 030321