Cloudflare Universal SSL aktivieren und deaktivieren – Ein praktischer und sicherer Leitfaden für Serveradministratoren und Entwickler

Warum ist es wichtig, Universal SSL auf Cloudflare einzurichten?

Für Webmaster, DevOps-Teams und Nutzer von VPS- oder Cloud-Servern ist die korrekte SSL-Konfiguration zwischen Endnutzer, Cloudflare Edge und Ursprungsserver unerlässlich. Die Wahl des falschen SSL-Modus oder eine fehlerhafte Zertifikatsverwaltung können zu HTTPS-Fehlern, Weiterleitungsschleifen oder sogar einer reduzierten Verbindungssicherheit führen.

Was ist Universal SSL und wie funktioniert es?

Universal SSL ist ein Dienst von Cloudflare, der ein kostenloses, automatisches TLS/SSL-Zertifikat am Cloudflare-Edge für Domains ausstellt und installiert, die das CDN/den Proxy von Cloudflare nutzen. Dieses Zertifikat verschlüsselt die Kommunikation der Endnutzer bis zum Cloudflare-Edge. Die Verschlüsselung zwischen Cloudflare und dem Ursprungsserver erfordert jedoch eine separate Konfiguration.

SSL-Modi

Die wichtigsten Modi, die im Cloudflare-Dashboard ausgewählt werden können, sind:

• Aus: Zwischen dem Nutzer und Cloudflare findet keine HTTPS-Verschlüsselung statt.
• Flexibel: Die Verbindung zwischen Benutzer und Cloudflare ist verschlüsselt, die Verbindung zwischen Cloudflare und dem Ursprungsserver hingegen erfolgt über HTTP (ohne TLS). Normalerweise nicht erforderlich und kann zu Sicherheitsproblemen und Umleitungsschleifen führen..
• Voll: Die Verbindung zum Ursprungsserver wird über TLS hergestellt, Cloudflare validiert jedoch das Ursprungszertifikat nicht.
• Vollständig (streng): Die Verbindung zum Ursprungsserver wird über TLS hergestellt und Cloudflare überprüft die Authentizität des Ursprungszertifikats (das Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle oder der Ursprungszertifizierungsstelle ausgestellt worden sein).

Warum sollte man Universal SSL deaktivieren?

Häufige Gründe für die Deaktivierung von Universal SSL sind:

• Erfordert das Hochladen eines dedizierten Edge-Zertifikats auf Cloudflare (in der Regel bei Business-/Enterprise-Tarifen).
• Fehlerbehebung und Tests von HTTPS direkt auf dem Ursprungsserver ohne Umweg über den Cloudflare-Edge.
• Durch die Verwendung eines anderen CDN oder Load Balancers, der ein eigenes Zertifikat bereitstellen muss.
• Konflikt zwischen SSL-/Caching-Einstellungen oder Notwendigkeit der Installation eines Wildcard-/EV-Zertifikats auf dem Edge-Gerät.

Schritte zur universellen SSL-Aktivierung (Dashboard)

Aktivierungsschritte über das Cloudflare-Dashboard:

1. Melden Sie sich im Cloudflare-Dashboard an und wählen Sie die Domain (Zone) aus.
2. Zum Abschnitt SSL/TLS Gehen.
3. Stellen Sie den SSL-Modus auf „Ein“. Vollständig (Streng) Oder Voll Vorschlag: Vollständig (Streng)).
4. Im Abschnitt Edge-Zertifikate, Option Universelles SSL Diese Funktion ist normalerweise standardmäßig aktiviert. Falls sie deaktiviert ist, klicken Sie auf die Schaltfläche „Aktivieren“.
5. Bitte warten Sie – Die Ausstellung und Veröffentlichung des Zertifikats im CDN kann bis zu 24 Stunden dauern, ist aber in der Regel in wenigen Minuten bis wenigen Stunden abgeschlossen.

Universelles SSL deaktivieren (Dashboard)

Schritte zur Deaktivierung:

1. Eingeben SSL/TLS > Edge-Zertifikate Dill.
2. Im Abschnitt Universelles SSL, Schaltfläche deaktivieren (DeaktivierenWählen ).
3. Wenn Sie HTTPS ohne Unterbrechung aufrechterhalten möchten, müssen Sie ein Ersatz-Edge-Zertifikat (benutzerdefiniertes hochgeladenes Zertifikat) beschaffen und installieren, bevor Sie Universal SSL deaktivieren (verfügbar ab Business/Enterprise-Tarifen).
4. Bitte beachten Sie, dass HTTPS-Benutzer bis zur Installation des neuen Zertifikats auf einen Fehler stoßen werden.

Deaktivierung/Aktivierung über API (Beispiel)

Zur Automatisierung können Sie die Cloudflare-API verwenden. Ermitteln Sie zunächst die Zonen-ID und ändern Sie anschließend den Universal-SSL-Status.

Abrufen der Zonen-ID (Beispiel):

curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json"

Ändern des Universal-SSL-Status (Beispiel):

curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/universal_ssl" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json" \
 --data '{"value":"off"}'

Um den Wert zu aktivieren, setzen Sie ihn auf ""An"" Änderung. (Bei Verwendung eines API-Tokens müssen die Header gemäß der Token-Dokumentation festgelegt werden.)

Cloudflare-Ursprungszertifizierungsstelle verwenden (empfohlen für Full (Strict))

Für Vollständig (Streng) Die beste Art der Nutzung Cloudflare Origin CA Dabei wird ein Zertifikat ausgestellt, das nur zwischen Cloudflare und Origin gültig ist; dieses Zertifikat eignet sich nicht für direkte Benutzerverbindungen zu Origin, ist aber sicher und einfach für die Kommunikation zwischen Cloudflare und Origin.

Kurzanleitung:

• Im Cloudflare-Dashboard, SSL/TLS → Ursprungsserver Gehen.
• Zertifikat erstellen Klicken Sie, wählen Sie den Typ RSA oder ECDSA aus und geben Sie die Domäne/Wildcard an.
• Cloudflare generiert die PEM-Datei: Zertifikat Und privater Schlüssel Herunterladen.
• Platzieren Sie diese Dateien auf Origin (z.B. /etc/ssl/cf_origin.pem Und /etc/ssl/cf_origin.key).

Beispiel einer Nginx-Konfiguration mit Origin CA:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/cf_origin.pem;
    ssl_certificate_key /etc/ssl/cf_origin.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:...';
    ssl_prefer_server_ciphers on;

    root /var/www/html;
    index index.php index.html;
    ...
}

Stellen Sie anschließend in Cloudflare den SSL-Modus auf ein. Vollständig (Streng) Leg es hin.

Installation eines Let's Encrypt-Zertifikats in Anwesenheit von Cloudflare

Häufiges Problem: Die HTTP-01-Herausforderung kann fehlschlagen, wenn Cloudflare im Proxy-Modus betrieben wird (oranges Wolkensymbol). Lösungen:

• Aus DNS-01-Herausforderung Verwenden Sie (z.B. certbot --preferred-challenges dns) — Erforderlich für Wildcards.
• Oder schalten Sie den Proxy vorübergehend aus (leeren Sie die Cloud) und schalten Sie den Proxy nach der Zertifikatsausstellung wieder ein.
• Oder von Cloudflare Origin CA Nutzen Sie die Vorteile (einfachere Lösung für Full (Strict)).

Beispiel für die DNS-Problembehandlung mit certbot (mit Cloudflare-Plugin):

certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com -d '*.example.com'

Behebung häufiger Fehler

Häufige Fehler und Lösungen:

• Fehler 525 (SSL-Handshake fehlgeschlagen): Der Handshake zwischen Cloudflare und Origin ist fehlgeschlagen. – Überprüfen Sie, ob Nginx/Apache mit TLS aktiviert ist und ob die Origin-CA oder ein gültiges Zertifikat installiert ist.
• Fehler 526 (Ungültiges SSL-Zertifikat): Das Ursprungszertifikat wird von Cloudflare nicht als gültig erkannt. – Verwenden Sie ein gültiges Ursprungszertifikat (CA) oder ein öffentliches Zertifikat und stellen Sie den Modus auf „Vollständig (Streng)“ ein.
• Umleitungsschleife: Normalerweise tritt dieser Fall auf, wenn der SSL-Modus auf „Flexibel“ eingestellt ist und eine HTTP → HTTPS-Weiterleitung auf dem Ursprungsserver eingerichtet ist. Lösung: Verwenden Sie „Vollständig“ / „Vollständig (Streng)“.
• Universelle SSL-Aktivierungszeit: Es kann bis zu 24 Stunden dauern; haben Sie Geduld und leeren Sie den DNS-Cache.

Zur schnellen Überprüfung:

openssl s_client -connect example.com:443 -servername example.com

Überprüfung der Verbindung von Cloudflare zu Origin (auf dem Server):

curl -vk --resolve example.com:443:198.51.100.10 https://example.com/

Sicherheits- und Betriebstipps

Bewährte Verfahren und Sicherheitsmaßnahmen:

• Immer von Vollständig (Streng) Verwenden Sie Cloudflare, um die Echtheit des Ursprungszertifikats zu überprüfen.
• Wenn Sie Cloudflare verwenden, beschränken Sie die für Origin zugelassenen IPs auf eine Whitelist; erlauben Sie nur Cloudflare-IPs. Listen Sie die IPs von Cloudflare IP-Liste Besorgen Sie es sich und halten Sie es auf dem neuesten Stand.
• Die Aktivierung von TLS 1.3 und HTTP/2 verbessert die Leistung. Aktivieren Sie HSTS vorsichtig und erst, nachdem Sie sich der Konfiguration sicher sind (Preload erst nach gründlichen Tests).
• Für sensible Anwendungen (Handel, Gaming mit niedrigem Ping, Datenbank-Rendering und KI): Platzieren Sie den Ursprungsserver in der Nähe der Zielbenutzer oder in der Nähe von BGP-Netzwerken und geeignet gelegenen Rechenzentren, um die niedrigste Round-Trip-Time (RTT) zu erreichen.
• Verwenden Sie sichere Tunnel oder Firewall-Regeln für Nicht-Web-Datenverkehr (z. B. SSH oder privates TCP); Cloudflare ist für Web-Datenverkehr optimiert.

SEO- und Performance-Tipps

Auswirkungen von Universal SSL und CDN auf SEO und Performance:

• Durch die Aktivierung von Universal SSL auf Edge wird sichergestellt, dass die Benutzer immer HTTPS nutzen können – dies ist vorteilhaft für die Suchmaschinenoptimierung (SEO).
• Durch die Verwendung von CDN und Edge-Zertifikaten verkürzt sich die TLS-Handshake-Zeit für globale Benutzer.
• Stellen Sie sicher, dass die 301-Weiterleitung von HTTP zu HTTPS korrekt eingerichtet ist und dass Sie keine gemischten Inhalte haben (verwenden Sie Tools wie Lighthouse oder Screaming Frog, um dies zu überprüfen).

Beispielhafte Checkliste vor dem Deaktivieren von Universal SSL

• Haben Sie ein Ersatz-Edge-Zertifikat? (Falls nicht, funktioniert HTTPS nicht.)
• Verfügt Origin über ein gültiges Zertifikat im vollständigen (strengen) Modus?
• Sind Cloudflare-IPs in der Ursprungsfirewall auf der Whitelist?
• Reagieren Nutzer und Drittanbieterdienste auf die Änderungen? (z. B. API-Nutzer)
• Wurde der richtige Zeitpunkt (verkehrsarmes Zeitfenster) gewählt?

Schlussfolgerung und Empfehlungen

Universal SSL ist eine leistungsstarke und einfache Verschlüsselungsmethode, die für die meisten Websites und Anwendungen geeignet ist. Es wird empfohlen, sie stets zu verwenden. Vollständig (Streng) Zusammen mit Cloudflare Origin CA Oder verwenden Sie ein gültiges Zertifikat. Die Deaktivierung von Universal SSL sollte mit Vorsicht und nur in Ausnahmefällen erfolgen.

Technischer Support und zugehörige Dienstleistungen

Wenn Sie die bereitgestellten Server nutzen (mit globalen Standorten, Cloud- und dedizierten Servern, GPU-Grafikservern, VPS für Handel und Gaming, Anti-DDoS-Diensten, CDN und BGP-Unterstützung), kann Ihnen das technische Team bei der Installation von Origin CA helfen, Firewall-Regeln einrichten, um Cloudflare-IPs auf die Whitelist zu setzen, oder Sie hinsichtlich der besten SSL/TLS-Konfiguration für niedrigste Latenz und höchste Sicherheit beraten.

Häufig gestellte Fragen