Включение и отключение Cloudflare Universal SSL — практическое и безопасное руководство для администраторов серверов и разработчиков.
В этом руководстве вы узнаете все технические подробности включения и отключения Universal SSL в Cloudflare и сможете внедрить более оптимальные настройки безопасности.

Включение и отключение Cloudflare Universal SSL — практическое и безопасное руководство для администраторов серверов и разработчиков.

  • 30 просмотров
  • 6 минута чтения
В этой статье мы подробно и технически объясним, как включить и отключить Universal SSL в Cloudflare. Это руководство поможет вам максимально эффективно использовать этот сервис для защиты вашего сайта. Узнайте, как его включить и отключить, и ознакомьтесь с настройками безопасности.
Элахе
  • 7 февраля 2026 г.
0 Акции
0
0
0
0
0
Акции
0
0
0
0
  1. Почему важно настроить универсальный SSL-сертификат в Cloudflare?
  2. Что такое Universal SSL и как он работает?
    1. Режимы SSL
  3. Зачем может потребоваться отключение Universal SSL?
  4. Этапы активации универсального SSL (панель управления)
  5. Отключение универсального SSL (панель управления)
  6. Отключение/включение через API (пример)
  7. Используйте центр сертификации Cloudflare Origin (рекомендуется для полного (строгого) доступа).
  8. Установка сертификата Let's Encrypt в присутствии Cloudflare
  9. Устранение распространенных ошибок
  10. Советы по безопасности и эксплуатации
  11. Советы по SEO и повышению эффективности
  12. Примерный контрольный список перед отключением Universal SSL
  13. Заключение и рекомендации
  14. Техническая поддержка и сопутствующие услуги
  15. Часто задаваемые вопросы

Почему важно настроить универсальный SSL-сертификат в Cloudflare?

Для веб-мастеров, специалистов по DevOps и тех, кто использует VPS или облачные серверы, крайне важно правильно настроить SSL-соединение между конечным пользователем, Cloudflare Edge и исходным сервером. Выбор неправильного режима SSL или некорректная обработка сертификатов могут привести к ошибкам HTTPS, зацикливанию перенаправлений или даже снижению безопасности соединения.

Что такое Universal SSL и как он работает?

Universal SSL — это сервис Cloudflare, который выдает и устанавливает бесплатный автоматический TLS/SSL-сертификат на границе сети Cloudflare для доменов, использующих CDN/прокси Cloudflare. Этот сертификат шифрует обмен данными между конечным пользователем и границей сети Cloudflare, но для шифрования между Cloudflare и исходным сервером требуется отдельная настройка.

Режимы SSL

Основные режимы, которые можно выбрать на панели управления Cloudflare, следующие:

  • Выключенный: Между пользователем и Cloudflare не происходит шифрования HTTPS.
  • Гибкий: Соединение между пользователем и Cloudflare зашифровано, но соединение между Cloudflare и Origin устанавливается по протоколу HTTP (без TLS). Обычно это не требуется и может привести к проблемам с безопасностью и зацикливанию переадресации..
  • Полный: Соединение с источником устанавливается с использованием TLS, но Cloudflare не проверяет подлинность сертификата источника.
  • Полный (строгий): Соединение с источником устанавливается с использованием протокола TLS, и Cloudflare проверяет подлинность сертификата источника (сертификат должен быть выдан доверенным центром сертификации или центром сертификации источника).

Зачем может потребоваться отключение Universal SSL?

К распространённым причинам отключения Universal SSL относятся:

  • Требуется загрузка выделенного пограничного сертификата в Cloudflare (обычно это входит в тарифные планы Business/Enterprise).
  • Проводите диагностику и тестирование HTTPS непосредственно в Origin, минуя граничные серверы Cloudflare.
  • Использование другой CDN или балансировщика нагрузки, который должен предоставлять собственный сертификат.
  • Конфликт между настройками SSL/кэширования или необходимость установки сертификата с подстановочным знаком/EV-сертификата на периферии сети.

Этапы активации универсального SSL (панель управления)

Этапы активации через панель управления Cloudflare:

  1. Войдите в панель управления Cloudflare и выберите домен (зону).
  2. К разделу SSL/TLS Идти.
  3. Включите режим SSL. Полный (строгий) Или Полный Место (предложение: Полный (строгий)).
  4. В разделе Сертификаты Edge, вариант Универсальный SSL Обычно эта функция включена по умолчанию. Если она отключена, нажмите кнопку «Включить».
  5. Подождите — выдача и публикация сертификата в CDN может занять до 24 часов, но обычно завершается за несколько минут или часов.

Отключение универсального SSL (панель управления)

Для деактивации выполните следующие действия:

  1. Входить SSL/TLS > Сертификаты пограничного доступа Укроп.
  2. В разделе Универсальный SSLкнопка отключения (ЗапрещатьВыбирать ).
  3. Чтобы обеспечить бесперебойную работу HTTPS, необходимо получить и установить новый сертификат (пользовательский загруженный сертификат) перед отключением Universal SSL (доступно в тарифных планах Business/Enterprise и выше).
  4. Обратите внимание, что до установки нового сертификата пользователи HTTPS будут сталкиваться с ошибкой.

Отключение/включение через API (пример)

Для автоматизации можно использовать API Cloudflare. Сначала получите идентификатор зоны, а затем измените статус Universal SSL.

Получение идентификатора зоны (пример):

curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json"

Изменение статуса Universal SSL (пример):

curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/universal_ssl" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json" \
 --data '{"value":"off"}'

Чтобы активировать это значение, установите его на ""на"" Изменения. (Если используется API-токен, установите заголовки в соответствии с документацией по токену.)

Используйте центр сертификации Cloudflare Origin (рекомендуется для полного (строгого) доступа).

Для Полный (строгий) Лучший способ использования Cloudflare Origin CA Этот сертификат выдается и действителен только между Cloudflare и Origin; он не подходит для прямого подключения пользователей к Origin, но является безопасным и простым для обмена данными между Cloudflare и Origin.

Краткие шаги:

  • На панели управления Cloudflare, SSL/TLS → Исходный сервер Идти.
  • Создать сертификат Нажмите кнопку, выберите тип RSA или ECDSA и укажите домен/подстановочный знак.
  • Cloudflare генерирует PEM-файл: сертификат и закрытый ключ Скачать.
  • Разместите эти файлы в Origin (например, /etc/ssl/cf_origin.pem и /etc/ssl/cf_origin.key).

Пример конфигурации Nginx с центром сертификации Origin:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/cf_origin.pem;
    ssl_certificate_key /etc/ssl/cf_origin.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:...';
    ssl_prefer_server_ciphers on;

    root /var/www/html;
    index index.php index.html;
    ...
}

Затем в Cloudflare установите режим SSL на Полный (строгий) Поставь его.

Установка сертификата Let's Encrypt в присутствии Cloudflare

Распространенная проблема: проверка HTTP-01 может завершиться неудачей, если Cloudflare находится в режиме прокси (оранжевый значок облака). Решения:

  • От DNS-01 challenge Использовать (например) certbot --preferred-challenges dns) — Обязательно для использования подстановочных символов.
  • Или временно отключите прокси (очистите облако) и включите его снова после выдачи сертификата.
  • Или из Cloudflare Origin CA Воспользуйтесь этим преимуществом (более простое решение для полного (строгого) режима).

Пример использования certbot DNS (с плагином Cloudflare):

certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com -d '*.example.com'

Устранение распространенных ошибок

Распространенные ошибки и способы их исправления:

  • Ошибка 525 (сбой SSL-рукопожатия): Сбой установления соединения между Cloudflare и Origin — Убедитесь, что Nginx/Apache поддерживает TLS и что установлен центр сертификации Origin или действительный сертификат.
  • Ошибка 526 (Недействительный SSL-сертификат): Сертификат источника не распознается Cloudflare как действительный — используйте действительный сертификат центра сертификации источника или публичный сертификат и установите режим на «Полный (Строгий)».
  • Цикл перенаправления: Обычно это происходит, когда режим SSL установлен на Flexible, и у вас настроено перенаправление http → https на источнике. Решение: используйте Full / Full (Strict).
  • Время активации универсального SSL: Это может занять до 24 часов; наберитесь терпения и очистите кэш DNS.

Для быстрой проверки:

openssl s_client -connect example.com:443 -servername example.com

Проверка соединения Cloudflare с Origin (на сервере):

curl -vk --resolve example.com:443:198.51.100.10 https://example.com/

Советы по безопасности и эксплуатации

Передовые методы и меры безопасности:

  • Всегда от Полный (строгий) Используйте Cloudflare для проверки подлинности сертификата Origin.
  • Если вы используете Cloudflare, ограничьте список разрешенных IP-адресов для Origin белым списком; разрешите только IP-адреса Cloudflare. Перечислите IP-адреса из Список IP-адресов Cloudflare Скачайте и регулярно обновляйте.
  • Включение TLS 1.3 и HTTP/2 повысит производительность. Включайте HSTS осторожно и только после того, как убедитесь в правильности конфигурации (предварительная загрузка должна производиться только после тщательного тестирования).
  • Для сайтов с высокой чувствительностью к внешним воздействиям (трейдеры, игры с низким пингом, рендеринг баз данных и ИИ): разместите Origin рядом с целевыми пользователями или сетями BGP и центрами обработки данных, расположенными в соответствующих местах, чтобы добиться минимального времени кругового обхода (RTT).
  • Для трафика, не связанного с веб-трафиком (например, SSH или частный TCP), используйте защищенные туннели или правила брандмауэра; Cloudflare оптимизирован для веб-трафика.

Советы по SEO и повышению эффективности

Влияние универсального SSL и CDN на SEO и производительность:

  • Включение универсального SSL на Edge гарантирует, что пользователи всегда будут использовать HTTPS — это выгодно для SEO.
  • Использование CDN и пограничных сертификатов сокращает время установления TLS-соединения для пользователей по всему миру.
  • Убедитесь, что перенаправление 301 с HTTP на HTTPS настроено правильно и у вас нет смешанного контента (используйте для проверки такие инструменты, как Lighthouse или Screaming Frog).

Примерный контрольный список перед отключением Universal SSL

  • У вас есть заменяющий пограничный сертификат? (Если нет, HTTPS будет недоступен)
  • Есть ли у Origin действительный сертификат в режиме Full (Strict)?
  • Внесены ли IP-адреса Cloudflare в белый список межсетевого экрана источника?
  • Реагируют ли пользователи и сторонние сервисы на изменения? (например, потребители API)
  • Выбрано ли подходящее время (период с низкой интенсивностью движения)?

Заключение и рекомендации

Universal SSL — это мощный и простой способ шифрования на границе сети, подходящий для большинства веб-сайтов и приложений. Рекомендуется всегда использовать именно его. Полный (строгий) Вместе с Cloudflare Origin CA Или используйте действительный сертификат. Отключение Universal SSL следует проводить с осторожностью и только в особых случаях.

Техническая поддержка и сопутствующие услуги

Если вы используете предоставленные серверы (с глобальным расположением, облачные и выделенные серверы, серверы с графическими процессорами, VPS для торговли и игр, сервисы защиты от DDoS-атак, CDN и поддержка BGP), техническая команда может помочь установить Origin CA, настроить правила брандмауэра для добавления IP-адресов Cloudflare в белый список или посоветовать оптимальную конфигурацию SSL/TLS для обеспечения минимальной задержки и максимальной безопасности.

Часто задаваемые вопросы

В этой статье:
,,,
Автор поста:
Следовать
Предыдущая статья
Следующая статья
Вам также может понравиться