فعال و غیرفعالسازی Universal SSL Cloudflare — راهنمای عملی و امن برای مدیران سرور و توسعه‌دهندگان
با این راهنما، به صورت کامل و فنی با فعال و غیرفعالسازی Universal SSL در Cloudflare آشنا شوید و تنظیمات امنیتی بهینه‌تری را پیاده‌سازی کنید.

فعال و غیرفعالسازی Universal SSL Cloudflare — راهنمای عملی و امن برای مدیران سرور و توسعه‌دهندگان

  • 6 dakikalık okuma
در این مقاله به صورت کامل و فنی درباره فعال و غیرفعالسازی Universal SSL در Cloudflare توضیح می‌دهیم. این راهنما به شما کمک می‌کند تا از این سرویس برای فراهم کردن امنیت سایت خود، استفاده بهینه کنید. نحوه فعال‌سازی و غیرفعالسازی را یاد بگیرید و با تنظیمات ایمن آشنا شوید.
Elahe
  • 7 Şubat 2026
0 Hisse senetleri
0
0
0
0
0
Hisse senetleri
0
0
0
0
  1. چرا تنظیم Universal SSL در Cloudflare اهمیت دارد؟
  2. Universal SSL چیست و چگونه کار می‌کند؟
    1. حالت‌های SSL (SSL Modes)
  3. چرا ممکن است Universal SSL را غیرفعال کنید؟
  4. مراحل فعال‌سازی Universal SSL (داشبورد)
  5. غیرفعال‌سازی Universal SSL (داشبورد)
  6. غیرفعال/فعال کردن از طریق API (نمونه)
  7. استفاده از Cloudflare Origin CA (پیشنهاد برای Full (Strict))
  8. نصب گواهی Let’s Encrypt در حضور Cloudflare
  9. عیب‌یابی خطاهای رایج
  10. Güvenlik ve operasyonel ipuçları
  11. نکات مربوط به SEO و عملکرد
  12. نمونه‌چک‌لیست قبل از خاموش کردن Universal SSL
  13. نتیجه‌گیری و توصیه‌ها
  14. پشتیبانی فنی و خدمات مرتبط
  15. Sıkça Sorulan Sorular

چرا تنظیم Universal SSL در Cloudflare اهمیت دارد؟

برای مدیران سایت، DevOps و افرادی که از VPS یا سرورهای ابری استفاده می‌کنند، پیکربندی صحیح SSL بین کاربر نهایی، لبهٔ Cloudflare و سرور مبدا اهمیت حیاتی دارد. انتخاب نادرست حالت SSL یا مدیریت ناصحیح گواهی‌ها می‌تواند منجر به خطاهای HTTPS، ریدایرکت لوپ، یا حتی کاهش امنیت اتصال شود.

Universal SSL چیست و چگونه کار می‌کند؟

Universal SSL سرویس Cloudflare است که برای دامنه‌هایی که از CDN/Proxy Cloudflare استفاده می‌کنند، گواهی TLS/SSL رایگان و خودکار در لبهٔ شبکه Cloudflare (Edge) صادر و نصب می‌کند. این گواهی ارتباط کاربر نهایی تا لبهٔ Cloudflare را رمزگذاری می‌کند، اما رمزگذاری بین Cloudflare و سرور مبدا (Origin) نیاز به تنظیمات جداگانه دارد.

حالت‌های SSL (SSL Modes)

حالت‌های اصلی که در داشبورد Cloudflare قابل انتخاب هستند:

  • Off: هیچ رمزگذاری HTTPS بین کاربر و Cloudflare انجام نمی‌شود.
  • Flexible: ارتباط کاربر → Cloudflare رمزگذاری شده، اما Cloudflare → Origin با HTTP (بدون TLS) برقرار می‌شود — معمولاً مورد نیاز نیست و ممکن است مشکلات امنیتی و ریدایرکت لوپ ایجاد کند.
  • Full: ارتباط تا Origin با TLS برقرار می‌شود؛ اما Cloudflare گواهی مبدا را اعتبارسنجی نمی‌کند.
  • Full (Strict): ارتباط تا Origin با TLS برقرار می‌شود و Cloudflare صحت گواهی مبدا را بررسی می‌کند (گواهی باید توسط CA قابل اعتماد یا Origin CA معتبر باشد).

چرا ممکن است Universal SSL را غیرفعال کنید؟

موارد رایج برای غیرفعال‌سازی Universal SSL عبارت‌اند از:

  • نیاز به بارگذاری یک گواهی edge اختصاصی در Cloudflare (معمولاً در پلن‌های Business/Enterprise).
  • عیب‌یابی و تست مستقیم HTTPS روی Origin بدون عبور از لبهٔ Cloudflare.
  • استفاده از CDN یا Load Balancer دیگری که باید گواهی خاص خودش را ارائه دهد.
  • تضاد بین تنظیمات SSL/Caching یا نیاز به نصب گواهی wildcard / EV بر روی edge.

مراحل فعال‌سازی Universal SSL (داشبورد)

مراحل فعال‌سازی از طریق داشبورد Cloudflare:

  1. وارد داشبورد Cloudflare شوید و دامنه (Zone) را انتخاب کنید.
  2. به بخش SSL/TLS Gitmek.
  3. حالت SSL را روی Full (Strict) Veya Tam dolu قرار دهید (پیشنهاد: Full (Strict)).
  4. Bölümde Edge Certificates، گزینه Universal SSL معمولاً به صورت پیش‌فرض فعال است. اگر غیرفعال است، دکمه فعال‌سازی را بزنید.
  5. صبر کنید — صدور و انتشار گواهی روی CDN ممکن است تا 24 ساعت طول بکشد، اما معمولاً در چند دقیقه تا چند ساعت کامل می‌شود.

غیرفعال‌سازی Universal SSL (داشبورد)

مراحلی که برای غیرفعال‌سازی باید رعایت کنید:

  1. Girmek SSL/TLS > Edge Certificates Dereotu.
  2. Bölümde Universal SSL، دکمهٔ غیرفعال‌سازی (DisableSeçme ).
  3. اگر می‌خواهید بدون وقفه HTTPS را نگه دارید، قبل از غیرفعال‌سازی Universal SSL باید یک گواهی edge جایگزین (custom uploaded certificate) تهیه و نصب کنید (قابل استفاده در پلن‌های Business/Enterprise یا بالاتر).
  4. توجه داشته باشید که تا نصب گواهی جدید، کاربران HTTPS با خطا مواجه خواهند شد.

غیرفعال/فعال کردن از طریق API (نمونه)

برای اتوماسیون می‌توانید از Cloudflare API استفاده کنید. ابتدا Zone ID را بگیرید و سپس وضعیت Universal SSL را تغییر دهید.

گرفتن Zone ID (نمونه):

curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json"

تغییر وضعیت Universal SSL (نمونه):

curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/universal_ssl" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json" \
 --data '{"value":"off"}'

برای فعال کردن مقدار را به "on" تغییر دهید. (در صورت استفاده از API Token، هدرها را مطابق مستندات Token تنظیم کنید.)

استفاده از Cloudflare Origin CA (پیشنهاد برای Full (Strict))

İçin Full (Strict) بهترین روش استفاده از Cloudflare Origin CA است که گواهی‌ای صادر می‌کند که تنها بین Cloudflare و Origin معتبر است؛ این گواهی برای اتصال مستقیم کاربر به Origin مناسب نیست اما برای ارتباط بین Cloudflare و Origin امن و ساده است.

مراحل سریع:

  • در داشبورد Cloudflare به SSL/TLS → Origin Server Gitmek.
  • Create Certificate را بزنید، نوع RSA یا ECDSA را انتخاب کنید و دامنه/Wildcard را مشخص کنید.
  • Cloudflare فایل PEM را تولید می‌کند: certificate Ve özel anahtar را دانلود کنید.
  • این فایل‌ها را روی Origin قرار دهید (مثلاً /etc/ssl/cf_origin.pem Ve /etc/ssl/cf_origin.key).

نمونهٔ کانفیگ Nginx با Origin CA:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/cf_origin.pem;
    ssl_certificate_key /etc/ssl/cf_origin.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:...';
    ssl_prefer_server_ciphers on;

    root /var/www/html;
    index index.php index.html;
    ...
}

سپس در Cloudflare حالت SSL را روی Full (Strict) Koy şunu.

نصب گواهی Let’s Encrypt در حضور Cloudflare

مسأله رایج: اگر Cloudflare روی حالت Proxy (آیکن ابر نارنجی) باشد، چالش HTTP-01 ممکن است شکست بخورد. راه‌حل‌ها:

  • İtibaren DNS-01 challenge استفاده کنید (مثلاً certbot --preferred-challenges dns) — برای wildcardها ضروری است.
  • یا موقتاً proxy را خاموش کنید (پاک کردن ابر) و پس از صدور گواهی، دوباره proxy را روشن کنید.
  • Veya şuradan Cloudflare Origin CA بهره ببرید (راه‌حل ساده‌تر برای Full (Strict)).

نمونه صدور با certbot DNS (با پلاگین Cloudflare):

certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com -d '*.example.com'

عیب‌یابی خطاهای رایج

خطاها و راه‌حل‌های معمول:

  • خطای 525 (SSL handshake failed): handshake بین Cloudflare و Origin شکست خورده — بررسی کنید Nginx/Apache با TLS فعال باشد و Origin CA یا گواهی معتبر نصب شده باشد.
  • خطای 526 (Invalid SSL certificate): گواهی مبدا توسط Cloudflare معتبر تشخیص داده نشده — از Origin CA یا گواهی عمومی معتبر استفاده کنید و حالت را روی Full (Strict) بگذارید.
  • ریدایرکت لوپ: معمولاً وقتی SSL Mode روی Flexible است و روی Origin ریدایرکت http → https دارید. راه‌حل: از Full / Full (Strict) استفاده کنید.
  • طولانی بودن فعال‌سازی Universal SSL: ممکن است تا 24 ساعت طول بکشد؛ صبور باشید و از DNS Cache پاکسازی کنید.

برای بررسی سریع:

openssl s_client -connect example.com:443 -servername example.com

بررسی اتصال از Cloudflare تا Origin (در سرور):

curl -vk --resolve example.com:443:198.51.100.10 https://example.com/

Güvenlik ve operasyonel ipuçları

بهترین اقدامات عملی و امنیتی:

  • همیشه از Full (Strict) استفاده کنید تا Cloudflare صحت گواهی Origin را بررسی کند.
  • اگر از Cloudflare استفاده می‌کنید، IPهای مجاز به Origin را به لیست سفید محدود کنید؛ فقط IPهای Cloudflare را مجاز کنید. فهرست IPها را از فهرست IPهای Cloudflare بگیرید و به‌روز نگه دارید.
  • فعال کردن TLS 1.3 و HTTP/2 سبب بهبود عملکرد می‌شود. HSTS را با دقت و پس از اطمینان کامل از کانفیگ فعال کنید (preload فقط بعد از تست کامل).
  • برای سایت‌های حساس (تریدرها، گیمینگ با پینگ پایین، دیتابیس رندرینگ و AI): محل Origin را نزدیک کاربران هدف یا به شبکهٔ BGP و دیتاسنترهای لوکیشن مناسب قرار دهید تا کمترین RTT حاصل شود.
  • برای ترافیک غیروبی (مثلاً SSH یا TCP شخصی) از تونل‌های امن یا قوانین فایروال استفاده کنید؛ Cloudflare برای ترافیک وب بهینه شده است.

نکات مربوط به SEO و عملکرد

تأثیر Universal SSL و CDN بر سئو و عملکرد:

  • فعال بودن Universal SSL روی Edge باعث می‌شود کاربران همیشه HTTPS داشته باشند — این برای سئو مفید است.
  • استفاده از CDN و edge certificates باعث کاهش زمان TLS handshake برای کاربران جهانی می‌شود.
  • مطمئن شوید Redirect 301 از HTTP به HTTPS درست تنظیم شده و Mixed Content ندارید (برای بررسی از ابزارهایی مانند Lighthouse یا Screaming Frog استفاده کنید).

نمونه‌چک‌لیست قبل از خاموش کردن Universal SSL

  • آیا گواهی edge جایگزین دارید؟ (در صورت نداشتن، HTTPS قطع می‌شود)
  • آیا Origin در حالت Full (Strict) یک گواهی معتبر دارد؟
  • آیا IPهای Cloudflare در فایروال origin لیست سفید هستند؟
  • آیا کاربران و سرویس‌های سوم‌شخص به تغییرات واکنش نشان می‌دهند؟ (مثل API consumers)
  • آیا زمان مناسب (low-traffic window) انتخاب شده است؟

نتیجه‌گیری و توصیه‌ها

Universal SSL یک قابلیت قدرتمند و ساده برای رمزگذاری لبه‌ای است و برای بیشتر وب‌سایت‌ها و اپلیکیشن‌ها مناسب است. توصیه می‌شود همیشه از Full (Strict) همراه با Cloudflare Origin CA یا گواهی معتبر استفاده کنید. غیرفعال‌سازی Universal SSL باید با احتیاط و فقط در موارد خاص انجام شود.

پشتیبانی فنی و خدمات مرتبط

اگر از سرورهای ارائه‌شده (با لوکیشن‌های جهانی، سرور ابری و اختصاصی، سرور گرافیکی GPU، VPS مخصوص ترید و گیم، سرویس‌های ضد DDoS، CDN، و پشتیبانی BGP) استفاده می‌کنید، تیم فنی می‌تواند در نصب Origin CA، تنظیم قوانین فایروال برای whitelist کردن IPهای Cloudflare، یا مشاوره برای بهترین کانفیگ SSL/TLS جهت پایین‌ترین تأخیر و بیش‌ترین امنیت کمک کند.

Sıkça Sorulan Sorular

Bu makalede:
,,,
Gönderiyi yazan:
Takip etmek
Önceki Makale
Ayrıca Şunları da Beğenebilirsiniz