Советы сообщества - Часто задаваемые вопросы о безопасности

Пожалуйста, прочтите пост перед публикацией

Пожалуйста, проверьте пост и связанные с ним посты, воспользуйтесь:search: в правом верхнем углу, чтобы найти вашу проблему. Данный совет сообщества содержит вопросы и ответы на наиболее часто задаваемые вопросы о протоколе SSL/TLS, :search: покажет дополнительные рекомендации и информацию.

Фон
Часто задаваемые вопросы о безопасности охватывают следующие аспекты Cloudflare Spectrum, Cloudflare Access, Free Universal SSL, периферийные сертификаты, самостоятельно сгенерированные сертификаты и сертификаты источника, TLS, HSTS, и все остальное в приложении SSL/TLS.

Цикл перенаправления
Если вы используете режим гибкого SSL на вкладке “Обзор” в приложении Cloudflare SSL/TLS и вынуждены использовать HTTPS в своем источнике, это наиболее вероятная причина вашей проблемы. Гибкий режим работает без шифрования трафика с вашего источника и Cloudflare. Поскольку ваш источник вынужден использовать https и затем перенаправлять запрос в Cloudflare, а Cloudflare снова пытается отправить тот же http запрос, возникает бесконечный цикл. Данная проблема рассматривается в данном руководстве по базе знаний -- Почему гибкий SSL образует цикл перенаправления?

Чтобы решить данную проблему, у вас есть несколько возможных вариантов:

Узнайте больше о SSL в настоящем обучающем материале Сообщества,
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

Поддомен слишком глубокий/Пользовательские сертификаты и Сертификаты расширенной проверки
После того, как Cloudflare успешно предоставит “Universal SSL” для вашей зоны, обратите внимание, что эти сертификаты будут покрывать только один уровень поддоменов (*.example.com, а не *.*.example.com):

  • Будет работать - www.example.com
  • Будет работать - example.com
  • Будет работать - test.example.com
  • Не будет работать - www.test.example.com
  • Не будет работать - staging.www.example.com

Если вам нужен сертификат, который поддерживает многоуровневые поддомены, вы можете приобрести Специальный SSL-сертификат с пользовательскими именами хостов, где вы можете указать любой многоуровневый поддомен во время покупки.

Если вы предпочитаете использовать ваш собственный сертификат, а не Universal SSL, который мы предоставляем, то вам потребуется перейти на наш план Business и загрузить Пользовательский сертификат.

Обратите внимание, что в таком случае Cloudflare не предоставляет Сертификаты “расширенной проверки”, если вы хотите их использовать, то вам нужно будет приобрести их отдельно и загрузить в свою учетную запись Cloudflare, используя загрузку собственного SSL-сертификата.

При желании, вы можете приобрести Расширенный диспетчер сертификатов и создать специальный сертификат с пользовательским именем хоста.

Понимание Расширенного диспетчера сертификатов
Управление Специальными SSL-сертификатами

Поддерживаемые клиенты (только SNI)

Наши SSL-сертификаты на платных планах (Pro, Business и Enterprise) будут работать со всеми браузерами, поэтому если вы беспокоитесь о совместимости или многие из ваших пользователей используют старые браузеры, то мы рекомендуем вам перейти на один из наших платных планов.

Специальные сертификаты и Universal SSL используют сертификаты указания имени сервера (SNI) с использованием алгоритма цифровых подписей на основе эллиптических кривых (ECDSA). Сертификаты SNI и ECDSA работают со следующими браузерами:

Браузеры, установленные на Windows Vista или OS X 10.6 или более поздней версии:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (с активированным TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Мобильные браузеры

  • Mobile Safari для iOS 4.0
  • Android 3.0 (Honeycomb) и более поздние версии
  • Windows Phone 7

Обратите внимание, что услуги API или платежные сервисы, связанные с вашим сайтом, также должны поддерживать SNI и ECDSA, чтобы подключаться к вашему веб-сайту через Cloudflare.

Режимы SSL - SSL к источнику

Cloudflare предлагает следующие режимы SSL:

  1. Гибкий SSL: SSL оканчивается на периферийных серверах Cloudflare. Все между вашим клиентом и Cloudflare зашифровано, а между Cloudflare и вашим источником не зашифровано. Для этого вам не потребуется сертификат.
  2. Полный SSL: SSL оканчивается на периферийных серверах Cloudflare. Затем он снова шифруется и отправляется обратно на ваши серверы в зашифрованном виде. Вам потребуется SSL сертификат, установленный на вашем сервере. В этом случае вы можете использовать самостоятельно сгенерированный сертификат.
  3. Полный SSL (Строгий): Такой же, как и Полный SSL, но вам потребуется сертификат, который подписан центром сертификации, например, GlobalSign. Если вы хотите подключить Полный строгий, вы можете установить бесплатный сертификат источника Cloudflareна вашем хостинге.

Полный обзор наших SSL-настроек можно найти [здесь] (https://support.cloudflare.com/hc/en-us/articles/200170416).

Если вы хотите использовать параметры полной или полной (строгой) конфигурации, то вам потребуется сертификат на веб-сервере источника.

Если вы используете Полный (Строгий) режим, данный SSL-сертификат должен быть действительным и либо подписанным центром сертификации или использовать наш сервис центра сертификации источника.

Ошибки смешанного содержимого и циклов перенаправления

Если вы заметите, что в вашем браузере отсутствует зеленый замок при подключении через HTTPS, вероятно, это проблема смешанного содержимого. Ошибки смешанного содержимого означают, что ваш веб-сайт загружается через HTTPS, но некоторые ресурсы загружаются через HTTP. Чтобы исправить это, вам необходимо отредактировать исходный код, и изменить все ресурсы, чтобы они загружались по относительному пути, или напрямую через HTTPS.

Например, если вы загружаете ваши изображения с полным URL-адресом:

<img src="http://example.com/image.jpg" />

Вы хотели бы изменить это на:

<img src="//example.com/image.jpg" />

При отключении http:, браузер будет использовать тот протокол, который уже использует посетитель. Посмотрите данную статью для получения дополнительной информации. Также вы можете установить плагин Mixed-Content Fixer, который автоматически заменит http на https в данных разделах. Для Wordpress, мы успешно применяем плагин SSL Insecure Content Fixer.

Кроме того, можно подключить функцию Automatic HTTPS Rewrites, которая потенциально может исправить эти ошибки автоматически. Следует помнить, что ресурсы, загруженные с помощью JavaScript или CSS, не будут автоматически переписаны, и предупреждения о смешанном содержимом все равно будут появляться.

Данные проблемы чаще всего связаны с пользователями гибкого SSL-сервиса Cloudflare. Вы можете проверить, используете ли вы SSL-сервис в полном или гибком режиме, выполнив вход в свою панель управления и открыв вкладку “Обзор” приложения SSL/TLS, а затем перейдя к настройке SSL.

Пользователи гибкого SSL

Гибкий режим работает без шифрования трафика с вашего источника и Cloudflare. Поскольку ваш источник вынужден использовать https и затем перенаправлять запрос в Cloudflare, а Cloudflare снова пытается отправить тот же http запрос, возникает бесконечный цикл. Мне удалось подтвердить, что на вашем сайте действительно применяется перенаправление HTTPS.

Чтобы решить данную проблему, у вас есть несколько возможных вариантов:

Кроме того, Cloudflare также добавляет заголовок X-Forwarded-Proto, который может быть либо http, либо https в зависимости от протокола, который пользователь использовал для посещения сайта, как показано ниже:

X-Forwarded-Proto: https

Когда установлен гибкий SSL и посетитель запрашивает доступ к Cloudflare через HTTPS, Cloudflare запрашивает источник через HTTP. В таком случае сервер источника может определить, что посетитель использовал HTTPS, проверив этот заголовок.

Сертификат не предоставляются
Просмотрите записи приложения DNS, чтобы убедиться, что ( example.com ) и www.example.com или example.com находятся в оранжевом облаке.

Для предоставления сертификата Cloudflare Universal SSL необходимо добавить все необходимые записи в оранжевое облако. После того как запись DNS будет помещена в оранжевое облако, вам будет предоставлен сертификат Cloudflare Universal SSL.

Дополнительную информацию о том, как это сделать, можно найти в руководстве по быстрой настройке ниже:

Другие ошибки SSL/TLS

Устранение ошибки 520: Веб-сервер возвращает неизвестную ошибку
Устранение ошибки 521: Веб-сервер не работает
Устранение ошибки 525: SSL-квитирование не удалось
Устранение ошибки 526: Недействительные SSL сертификаты

Если Вам нужна дополнительная помощь
В этом сообществе других пользователей Cloudflare могут вам помочь, войдите в Cloudflare и отправьте свой вопрос в Сообщество. Когда вы размещаете сообщение в Сообществе, обязательно включайте как можно больше следующей информации: конкретное сообщение об ошибке, которое вы видите, URL-адреса, по которым это происходит, скриншот ошибки и шаги по воспроизведению ошибки. Просьба указывать, какие шаги по устранению неполадок вы предприняли, чтобы нам было проще оказать вам помощь.

Комментарии экспертов приветствуются
Данный совет Сообщества останется открытым для комментариев экспертов Сообщества и тех, кто знаком с данной проблемой. Мы очень ценим комментарии по типу: “Назовите три шага, которые всегда нужно пробовать”, или “Сделайте это в первую очередь”, или “По моему опыту”.

Это совет сообщества Cloudflare, чтобы ознакомиться с другими советами, нажмите здесь.

Çevirmek…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg:Перевести этот Совет

AQSECT 030321