CloudflareユニバーサルSSLの有効化と無効化 - サーバー管理者と開発者のための実用的かつ安全なガイド

Cloudflare でユニバーサル SSL を設定することが重要なのはなぜですか?

ウェブマスター、DevOps担当者、そしてVPSやクラウドサーバーをご利用のお客様にとって、エンドユーザー、Cloudflare Edge、そしてオリジンサーバー間のSSLを適切に設定することは非常に重要です。SSLモードの選択ミスや証明書の取り扱いミスは、HTTPSエラー、リダイレクトループ、さらには接続セキュリティの低下につながる可能性があります。.

ユニバーサル SSL とは何ですか? また、どのように機能しますか?

Universal SSLは、CloudflareのCDN/プロキシを利用するドメインに対して、Cloudflareエッジで無料の自動TLS/SSL証明書を発行・インストールするCloudflareのサービスです。この証明書は、Cloudflareエッジまでのエンドユーザー通信を暗号化しますが、Cloudflareとオリジンサーバー間の暗号化には別途設定が必要です。.

SSL モード

Cloudflare ダッシュボードで選択できる主なモードは次のとおりです。

• オフ： ユーザーと Cloudflare の間で HTTPS 暗号化は行われません。.
• フレキシブル： ユーザー → Cloudflare の接続は暗号化されていますが、Cloudflare → Origin は HTTP (TLS なし) で確立されます — 通常は必要ありませんが、セキュリティ上の問題やリダイレクト ループが発生する可能性があります。.
• 満杯： オリジンへの接続は TLS で確立されますが、Cloudflare はオリジン証明書を検証しません。.
• 完全（厳密）: Origin への接続は TLS を使用して確立され、Cloudflare は Origin 証明書の信頼性をチェックします (証明書は信頼できる CA または Origin CA によって検証される必要があります)。.

Universal SSL を無効にする理由は何でしょうか?

Universal SSL を無効にする一般的な理由は次のとおりです:

• 専用のエッジ証明書を Cloudflare にアップロードする必要があります (通常は Business/Enterprise プラン)。.
• Cloudflare エッジを経由せずに Origin で直接 HTTPS のトラブルシューティングとテストを実行します。.
• 独自の証明書を提供する必要がある別の CDN またはロード バランサーを使用する。.
• SSL/キャッシュ設定が競合しているか、エッジにワイルドカード/EV 証明書をインストールする必要があります。.

ユニバーサル SSL 有効化手順 (ダッシュボード)

Cloudflareダッシュボード経由のアクティベーション手順:

1. Cloudflare ダッシュボードにログインし、ドメイン (ゾーン) を選択します。.
2. セクションへ SSL/TLS 行く。.
3. SSL モードをオンに設定します。 完全（厳密） または 満杯 場所（提案： 完全（厳密）).
4. このセクションでは エッジ証明書、 オプション ユニバーサルSSL 通常、デフォルトで有効になっています。無効になっている場合は、「有効にする」ボタンをクリックしてください。.
5. 待機 — CDN での証明書の発行と公開には最大 24 時間かかる場合がありますが、通常は数分から数時間で完了します。.

ユニバーサル SSL を無効にする (ダッシュボード)

非アクティブ化するには、次の手順に従います。

1. 入力 SSL/TLS > エッジ証明書 ディル。.
2. このセクションでは ユニバーサルSSL、無効化ボタン（無効にする（ ）を選択します。.
3. HTTPS を中断せずに維持したい場合は、Universal SSL (Business/Enterprise プラン以上で利用可能) を無効にする前に、代わりのエッジ証明書 (カスタムアップロード証明書) を取得してインストールする必要があります。.
4. 新しい証明書がインストールされるまで、HTTPS ユーザーにはエラーが発生することに注意してください。.

API経由で無効化/有効化（例）

自動化には、Cloudflare API を使用できます。まずゾーン ID を取得し、次に Universal SSL のステータスを変更します。.

ゾーン ID の取得 (例):

curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json"

Universal SSL ステータスの変更 (例):

curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/universal_ssl" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json" \
 --data '{"value":"off"}'

値を有効にするには、次のように設定します。 ""の上"" 変更します。(API トークンを使用する場合は、トークンのドキュメントに従ってヘッダーを設定します。)

Cloudflare Origin CA を使用する（Full (Strict) に推奨）

のために 完全（厳密） 最も効果的な使い方 Cloudflare Origin CA Cloudflare と Origin の間でのみ有効な証明書を発行します。この証明書は Origin への直接のユーザー接続には適していませんが、Cloudflare と Origin 間の通信には安全かつシンプルです。.

簡単な手順:

• Cloudflareダッシュボードでは、 SSL/TLS → オリジンサーバー 行く。.
• 証明書を作成する をクリックし、RSA または ECDSA タイプを選択し、ドメイン/ワイルドカードを指定します。.
• Cloudflare は PEM ファイルを生成します: 証明書 そして 秘密鍵 ダウンロード。.
• これらのファイルを Origin に配置します (例: /etc/ssl/cf_origin.pem そして /etc/ssl/cf_origin.key).

Origin CA を使用した Nginx 構成の例:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/cf_origin.pem;
    ssl_certificate_key /etc/ssl/cf_origin.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:...';
    ssl_prefer_server_ciphers on;

    root /var/www/html;
    index index.php index.html;
    ...
}

次に、CloudflareでSSLモードを 完全（厳密） 置いてください。.

Cloudflare が存在する環境で Let's Encrypt 証明書をインストールする

よくある問題: Cloudflareがプロキシモード（オレンジ色のクラウドアイコン）の場合、HTTP-01チャレンジが失敗することがあります。解決策:

• から DNS-01チャレンジ 使用例 certbot --preferred-challenges dns) — ワイルドカードの場合は必須です。.
• または、プロキシを一時的にオフにして（クラウドをクリアして）、証明書を発行した後にプロキシを再度オンにします。.
• または Cloudflare Origin CA 活用してください（Full（Strict）のよりシンプルなソリューション）。.

certbot DNS (Cloudflare プラグインを使用) で発行する例:

certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com -d '*.example.com'

一般的なエラーのトラブルシューティング

よくあるエラーと解決策:

• エラー 525 (SSL ハンドシェイクに失敗しました): Cloudflare と Origin 間のハンドシェイクに失敗しました - Nginx/Apache が TLS で有効になっており、Origin CA または有効な証明書がインストールされていることを確認してください。.
• エラー 526 (無効な SSL 証明書): Origin 証明書が Cloudflare によって有効として認識されない — 有効な Origin CA またはパブリック証明書を使用し、モードを Full (Strict) に設定します。.
• リダイレクトループ: 通常、SSLモードが「フレキシブル」に設定されていて、オリジン側でhttp→httpsリダイレクトが設定されている場合、Full/Full (Strict)を使用します。.
• ユニバーサルSSL有効化時間: 最大 24 時間かかる場合があります。しばらくお待ちいただき、DNS キャッシュをフラッシュしてください。.

簡単に確認するには:

openssl s_client -connect example.com:443 -servername example.com

Cloudflare から Origin (サーバー上) への接続を確認します。

curl -vk --resolve example.com:443:198.51.100.10 https://example.com/

セキュリティと運用のヒント

ベストプラクティスとセキュリティ対策:

• 常にから 完全（厳密） Cloudflare を使用して、Origin 証明書の信頼性を検証します。.
• Cloudflareを使用する場合は、Originへのアクセスを許可するIPをホワイトリストに制限し、CloudflareのIPのみを許可します。 Cloudflare IPリスト 入手して最新の状態に保ってください。.
• TLS 1.3とHTTP/2を有効にするとパフォーマンスが向上します。HSTSは、設定を十分確認した上で慎重に有効化してください（十分なテストを行った後にのみプリロードしてください）。.
• 機密性の高いサイト (トレーダー、低 ping ゲーム、データベース レンダリング、AI) の場合: Origin をターゲット ユーザーまたは BGP ネットワークと適切に配置されたデータ センターの近くに配置して、RTT を最小限に抑えます。.
• ウェブ以外のトラフィック（SSH やプライベート TCP など）には安全なトンネルまたはファイアウォール ルールを使用します。Cloudflare はウェブ トラフィック用に最適化されています。.

SEOとパフォーマンスのヒント

ユニバーサル SSL と CDN が SEO とパフォーマンスに与える影響:

• Edge でユニバーサル SSL を有効にすると、ユーザーが常に HTTPS を使用できるようになり、SEO に役立ちます。.
• CDN とエッジ証明書を使用すると、グローバル ユーザーの TLS ハンドシェイク時間が短縮されます。.
• HTTP から HTTPS への 301 リダイレクトが正しく設定されており、混合コンテンツがないことを確認します (Lighthouse や Screaming Frog などのツールを使用して確認します)。.

ユニバーサル SSL をオフにする前のサンプル チェックリスト

• 代わりのエッジ証明書はありますか？（ない場合は、HTTPS が壊れます）
• Origin には、フル (厳密) モードで有効な証明書がありますか?
• Cloudflare IP はオリジンファイアウォールでホワイトリストに登録されていますか?
• ユーザーとサードパーティのサービスは変更に対応していますか? (例: API コンシューマー)
• 適切な時間 (トラフィックの少ない時間帯) が選択されましたか?

結論と提言

Universal SSLは、ほとんどのウェブサイトやアプリケーションに適した強力かつシンプルなエッジ暗号化機能です。常に使用することをお勧めします。 完全（厳密） とともに Cloudflare Origin CA または、有効な証明書を使用してください。Universal SSL の無効化は慎重に行い、特別な場合にのみ行ってください。.

技術サポートおよび関連サービス

提供されているサーバー（グローバルロケーション、クラウドおよび専用サーバー、GPU グラフィックサーバー、トレーディングおよびゲーム用の VPS、アンチ DDoS サービス、CDN、BGP サポート付き）を使用する場合、技術チームが Origin CA のインストール、Cloudflare IP をホワイトリストに登録するためのファイアウォール ルールの設定、レイテンシを最小にしてセキュリティを最大限に高めるための最適な SSL/TLS 構成に関するアドバイスなどを行うことができます。.

よくある質問