Cloudflare Universal SSL'i Etkinleştirme ve Devre Dışı Bırakma — Sunucu Yöneticileri ve Geliştiriciler İçin Pratik ve Güvenli Bir Kılavuz

Cloudflare'da Universal SSL'i kurmak neden önemlidir?

Web yöneticileri, DevOps uzmanları ve VPS veya bulut sunucuları kullananlar için, son kullanıcı, Cloudflare Edge ve kaynak sunucu arasında SSL'yi doğru şekilde yapılandırmak çok önemlidir. Yanlış SSL modu seçmek veya sertifikaları yanlış yönetmek HTTPS hatalarına, yönlendirme döngülerine veya hatta bağlantı güvenliğinin azalmasına yol açabilir.

Evrensel SSL nedir ve nasıl çalışır?

Universal SSL, Cloudflare'ın CDN/Proxy'sini kullanan alan adları için Cloudflare uç noktasında ücretsiz, otomatik bir TLS/SSL sertifikası düzenleyen ve yükleyen bir Cloudflare hizmetidir. Bu sertifika, son kullanıcı iletişimini Cloudflare uç noktasına kadar şifreler, ancak Cloudflare ile kaynak sunucu arasındaki şifreleme ayrı bir yapılandırma gerektirir.

SSL Modları

Cloudflare kontrol panelinde seçilebilen başlıca modlar şunlardır:

• Kapalı: Kullanıcı ile Cloudflare arasında HTTPS şifrelemesi yapılmamaktadır.
• Esnek: Kullanıcı → Cloudflare bağlantısı şifrelenmiş, ancak Cloudflare → Origin bağlantısı HTTP üzerinden (TLS olmadan) kuruluyor. Genellikle gerekli değildir ve güvenlik sorunlarına ve yönlendirme döngülerine neden olabilir..
• Tam dolu: Kaynak sunucuyla bağlantı TLS üzerinden kuruluyor, ancak Cloudflare kaynak sertifikasını doğrulamıyor.
• Tam (Kesin): Origin sunucusuna bağlantı TLS ile kurulur ve Cloudflare, Origin sertifikasının orijinalliğini kontrol eder (sertifika, güvenilir bir CA veya Origin CA tarafından doğrulanmalıdır).

Evrensel SSL'yi neden devre dışı bırakmalısınız?

Evrensel SSL'yi devre dışı bırakmanın yaygın nedenleri şunlardır:

• Cloudflare'e özel bir uç nokta sertifikası yüklemeniz gerekir (genellikle İşletme/Kurumsal planlarda).
• Cloudflare uç noktası üzerinden geçmeden doğrudan Origin üzerinde HTTPS sorunlarını giderin ve test edin.
• Kendi sertifikasını sağlaması gereken başka bir CDN veya Yük Dengeleyici kullanmak.
• SSL/Önbellekleme ayarları arasında çakışma veya uç cihaza joker karakterli/EV sertifikası yüklenmesi gerekliliği.

Evrensel SSL etkinleştirme adımları (Kontrol Paneli)

Cloudflare kontrol paneli üzerinden etkinleştirme adımları:

1. Cloudflare kontrol paneline giriş yapın ve etki alanını (Bölge) seçin.
2. Bölüme SSL/TLS Gitmek.
3. SSL modunu açık konuma getirin. Tam (Sıkı) Veya Tam dolu Yer (öneri: Tam (Sıkı)).
4. Bölümde Edge Sertifikaları, seçenek Evrensel SSL Genellikle varsayılan olarak etkinleştirilmiştir. Devre dışıysa, Etkinleştir düğmesine tıklayın.
5. Bekleme süresi — Sertifikanın CDN üzerinde düzenlenmesi ve yayınlanması 24 saate kadar sürebilir, ancak genellikle birkaç dakika ile birkaç saat içinde tamamlanır.

Evrensel SSL'yi Devre Dışı Bırakma (Kontrol Paneli)

Devre dışı bırakmak için izlenecek adımlar:

1. Girmek SSL/TLS > Uç Sertifikalar Dereotu.
2. Bölümde Evrensel SSL, düğmeyi devre dışı bırak (Devre dışı bırakmakSeçme ).
3. HTTPS bağlantısının kesintisiz devam etmesini istiyorsanız, Evrensel SSL'yi devre dışı bırakmadan önce (İşletme/Kurumsal planlarda veya daha üst planlarda mevcuttur) yedek bir uç sertifikası (özel olarak yüklenen sertifika) edinip yüklemeniz gerekir.
4. Yeni sertifika yüklenene kadar HTTPS kullanıcılarının bir hatayla karşılaşacağını lütfen unutmayın.

API aracılığıyla devre dışı bırakma/etkinleştirme (Örnek)

Otomasyon için Cloudflare API'sini kullanabilirsiniz. Öncelikle Bölge Kimliğini (Zone ID) alın ve ardından Evrensel SSL durumunu değiştirin.

Bölge Kimliğini Alma (örnek):

curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json"

Evrensel SSL durumunu değiştirme (örnek):

curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/universal_ssl" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json" \
 --data '{"value":"off"}'

Değeri etkinleştirmek için, onu şu şekilde ayarlayın: ""Açık"" Değişiklik. (API Token kullanıyorsanız, başlıkları Token dokümanına göre ayarlayın.)

Cloudflare Origin CA'yı kullanın (Full (Strict) için önerilir).

İçin Tam (Sıkı) En iyi kullanım şekli Cloudflare Origin CA Bu sertifika yalnızca Cloudflare ve Origin arasında geçerlidir; bu sertifika, kullanıcıların Origin'e doğrudan bağlantıları için uygun değildir, ancak Cloudflare ve Origin arasındaki iletişim için güvenli ve basittir.

Hızlı adımlar:

• Cloudflare kontrol panelinde, SSL/TLS → Kaynak Sunucu Gitmek.
• Sertifika Oluştur Tıklayın, RSA veya ECDSA türünü seçin ve etki alanını/joker karakteri belirtin.
• Cloudflare PEM dosyasını oluşturur: sertifika Ve özel anahtar İndirmek.
• Bu dosyaları Origin'e yerleştirin (örneğin, /etc/ssl/cf_origin.pem Ve /etc/ssl/cf_origin.key).

Origin CA ile örnek Nginx yapılandırması:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/cf_origin.pem;
    ssl_certificate_key /etc/ssl/cf_origin.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:...';
    ssl_prefer_server_ciphers on;

    root /var/www/html;
    index index.php index.html;
    ...
}

Ardından Cloudflare'da SSL modunu şu şekilde ayarlayın: Tam (Sıkı) Koy şunu.

Cloudflare'ın bulunduğu ortamda Let's Encrypt sertifikası yüklemek

Sık karşılaşılan sorun: Cloudflare proxy modundayken (turuncu bulut simgesi) HTTP-01 doğrulama işlemi başarısız olabilir. Çözümler:

• İtibaren DNS-01 meydan okuması (Örneğin) Kullanın certbot --preferred-challenges dns) — Joker karakterler için gereklidir.
• Veya geçici olarak proxy'yi kapatın (bulutu temizleyin) ve sertifika verildikten sonra proxy'yi tekrar açın.
• Veya şuradan Cloudflare Origin CA (Tam (Katı) için daha basit çözüm) avantajından yararlanın.

Certbot DNS ile (Cloudflare eklentisi kullanılarak) sertifika verme örneği:

certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com -d '*.example.com'

Sık karşılaşılan hataların giderilmesi

Sık yapılan hatalar ve çözümleri:

• Hata 525 (SSL el sıkışması başarısız oldu): Cloudflare ve Origin arasındaki bağlantı başarısız oldu — Nginx/Apache'nin TLS ile etkinleştirildiğinden ve Origin CA'nın veya geçerli bir sertifikanın yüklü olduğundan emin olun.
• Hata 526 (Geçersiz SSL sertifikası): Cloudflare tarafından geçerli olarak tanınan kaynak sertifikası yok — Geçerli bir kaynak CA veya genel sertifika kullanın ve modu Tam (Sıkı) olarak ayarlayın.
• Yönlendirme döngüsü: Genellikle SSL Modu Esnek (Flexible) olduğunda ve Origin'de http → https yönlendirmesi olduğunda çözüm şudur: Tam / Tam (Strict) kullanın.
• Evrensel SSL etkinleştirme süresi: Bu işlem 24 saate kadar sürebilir; lütfen sabırlı olun ve DNS önbelleğini temizleyin.

Hızlı bir kontrol için:

openssl s_client -connect example.com:443 -servername example.com

Cloudflare'den Origin'e (sunucuda) olan bağlantıyı kontrol etme:

curl -vk --resolve example.com:443:198.51.100.10 https://example.com/

Güvenlik ve operasyonel ipuçları

En iyi uygulamalar ve güvenlik önlemleri:

• Her zaman Tam (Sıkı) Origin sertifikasının orijinalliğini doğrulamak için Cloudflare'ı kullanın.
• Cloudflare kullanıyorsanız, Origin'e izin verilen IP adreslerini bir beyaz listeye kısıtlayın; yalnızca Cloudflare IP adreslerine izin verin. İzin verilen IP adreslerini listeleyin. Cloudflare IP Listesi Edinin ve güncel tutun.
• TLS 1.3 ve HTTP/2'yi etkinleştirmek performansı artıracaktır. HSTS'yi dikkatlice ve yapılandırmadan emin olduktan sonra etkinleştirin (ön yüklemeyi yalnızca kapsamlı testlerden sonra yapın).
• Hassas siteler (alışveriş yapanlar, düşük pingli oyunlar, veritabanı oluşturma ve yapay zeka) için: En düşük RTT'yi elde etmek için Origin'i hedef kullanıcılara veya BGP ağlarına ve uygun konumlandırılmış veri merkezlerine yakın yerleştirin.
• Web dışı trafik (örneğin SSH veya özel TCP) için güvenli tüneller veya güvenlik duvarı kuralları kullanın; Cloudflare web trafiği için optimize edilmiştir.

SEO ve performans ipuçları

Universal SSL ve CDN'nin SEO ve performansa etkisi:

• Edge'de Evrensel SSL'yi etkinleştirmek, kullanıcıların her zaman HTTPS'ye sahip olmasını sağlar; bu da SEO için faydalıdır.
• CDN ve uç nokta sertifikalarının kullanımı, küresel kullanıcılar için TLS el sıkışma süresini azaltır.
• HTTP'den HTTPS'ye 301 yönlendirmesinin doğru şekilde ayarlandığından ve karışık içerik olmadığından emin olun (kontrol etmek için Lighthouse veya Screaming Frog gibi araçlar kullanın).

Universal SSL'yi devre dışı bırakmadan önce örnek kontrol listesi

• Yedek bir uç sertifikanız var mı? (Yoksa HTTPS çalışmayacaktır.)
• Origin'in Tam (Sıkı) modda geçerli bir sertifikası var mı?
• Cloudflare IP adresleri kaynak güvenlik duvarında beyaz listeye alınmış mı?
• Kullanıcılar ve üçüncü taraf hizmetler (örneğin API tüketicileri) değişikliklere yanıt veriyor mu?
• Doğru zaman dilimi (trafik yoğunluğunun düşük olduğu zaman dilimi) seçildi mi?

Sonuç ve öneriler

Evrensel SSL, çoğu web sitesi ve uygulama için uygun, güçlü ve basit bir uç nokta şifreleme özelliğidir. Her zaman kullanılması önerilir. Tam (Sıkı) İle birlikte Cloudflare Origin CA Veya geçerli bir sertifika kullanın. Evrensel SSL'yi devre dışı bırakmak dikkatli yapılmalı ve yalnızca özel durumlarda gerçekleştirilmelidir.

Teknik destek ve ilgili hizmetler

Sağlanan sunucuları (küresel konumlar, bulut ve özel sunucular, GPU grafik sunucuları, alım satım ve oyun için VPS, DDoS saldırılarına karşı koruma hizmetleri, CDN ve BGP desteği ile) kullanıyorsanız, teknik ekip Origin CA kurulumunda, Cloudflare IP adreslerini beyaz listeye almak için güvenlik duvarı kurallarının ayarlanmasında veya en düşük gecikme süresi ve en yüksek güvenlik için en iyi SSL/TLS yapılandırması konusunda size yardımcı olabilir.

Sıkça Sorulan Sorular