Cloudflareを通してプロキシされたドメインを閲覧する時に表示される一般的なSSLエラーをトラブルシューティングします。
概要
Cloudflareが、ドメインのSSL証明書を提供するまで、HTTPSトラフィックの様々なブラウザで、以下のエラーが表示されます:
Firefox
ssl_error_bad_cert_domain
この接続は信頼されていません
Chrome
接続がプライベートではありません
Safari
SafariはWebサイトのIDを確認できません
Edge / Internet Explorer
このWebサイトのセキュリティ証明書に問題があります
ドメインでプロビジョニングされているCloudflare SSL証明書でも、古いブラウザが信頼されていないSSL証明書に関してエラーを表示します。それは、Cloudflare Universal SSL証明書で使われているServer Name Indication (SNI) プロトコルをサポートしていないためです。Cloudflare Supportが、Universal 証明書、専用証明書、カスタム証明書、またはカスタムホスト名証明書に関するProプラン、Businessプラン、またはEnterpriseプランのドメインに対する非SNIのサポートを有効にできます。
それ以外に、新しいブラウザを使用する時にSSLエラーが起きる場合、こうしたSSLエラーの一般的な原因を確認してください:
- リダイレクトループエラーまたは、HTTP 525エラー、526エラー
- SSLエラーを返すのが一部のサブドメインだけ
- Cloudflare Universal SSL証明書がアクティブではない
- OCSPレスポンスエラー
- SSLの期限切れまたはSSLの不一致エラー
リダイレクトループエラーまたは、HTTP 525エラー、526エラー
兆候
訪問者がドメインを閲覧する際にリダイレクトループエラー、またはHTTP 525か526が認められる。CloudflareSSL/TLSアプリで現行のCloudflareSSL/TSL暗号化モードがオリジンWebサーバーの設定と互換性がない時に、こうしたエラーが発生します。
解決方法
リダイレクトループについて、リダイレクトループエラーのトラブルシューティングに関するガイドを参照してください。
HTTP 525または526エラーを解決するには、以下の推奨されるSSL設定を参照してください。例えば、オリジンWebサーバーが
- 認証局発行の有効な証明書、またはCloudflareからのOrigin CA証明書のどちらかがあり、FullまたはFull (strict) SSLオプションのどちらかを利用している場合。
- 自己署名したSSL証明書があり、FullSSLオプションを使用している場合。
- インストールしたSSL証明書が不足しており、Flexible SSLオプションを利用している場合。
一部のサブドメインしかSSLエラーを返さない
兆候
Cloudflare Universal SSLと通常の専用SSL証明書だけがルートレベルドメイン (example.com) とサブドメインの第1レベル(*.example.com)をカバーしています。ドメインの訪問者が(dev.www.example.comのような)ブラウザで(www.example.comのような)ドメインの第1レベルではなく、サブドメインの第2レベルにアクセスする際に、エラーが認められた場合、次の方法のうち、いずれかを使い、問題解決をしてください。
解決方法
- ドメインが少なくともBusinessプランであることを確認してから、dev.www.example.comをカバーするカスタムSSL証明書をアップロードする。または、
- dev.www.example.comをカバーするカスタムホスト名が記載された専用SSL証明書を購入する。または、
- 第二レベルサブドメインへの有効証明書がオリジンWebサーバーがある場合、 example.comのCloudflare DNSアプリでdev.wwwホスト名の隣にあるオレンジ色のクラウドをクリックする。
Cloudflare Universal SSL証明書がアクティブではない
兆候
アクティブなCloudflareドメイン全てが、Universal SSL証明書を提供しています。ドメイン用のCloudflare SSL/TLSアプリの「Edge 証明書」タブ内で、SSL エラーが認められ、Type Universalの証明書がない場合、Universal SSL 証明書にはまだプロビジョニングされていません。
Cloudflareがドメイン名に対する証明書を発行できるようになる前に、当社のSSLベンダーが各SSL 証明書リクエストを検証します。このプロセスには、15分から24時間までかかることがあります。当社のSSL証明書ベンダーは、追加のレビューのためにドメイン名にフラグを立てることがあります。
解決方法
ドメインがCNAMEセットアップにある場合:
現在ご利用のホスティングプロバイダーでCAA DNSレコードが有効になっているかどうか確認してください。有効になっている場合は、ドメインで証明書がプロビジョニングされるようにCloudflareが利用する認証局を指定していることを確認してください。
CloudflareSSL/TLSアプリのEdge 証明書タブにあるUniversal SSLを無効にするセクション下のドメインでUniversal SSLが無効になっている場合:
- Universal SSLを有効にするか、
- 専用SSL証明書を購入する、または
- CloudflareにカスタムSSL証明書を更新してください。
Cloudflare SSL 証明書が、Cloudflareドメインのアクティブ化の24時間以内に発行されない場合:
- オリジンWebサーバーに、有効なSSL shoumeishoCloudflareがあり、Cloudflareを一時的に停止し、
- サポートチケットを開けて、次の情報を提供してください:
- 影響を受けたドメイン名、
- 認められるエラーのスクリーンショット。
Cloudflareを一時利用停止にすると、サポートチームが問題を調査する間、HTTPトラフィックがオリジンWebサーバーから適切に提供されます。
OCSPレスポンスエラー
兆候
サイト訪問者に対して、OCSPレスポンスエラーが表示された。
解決方法
このエラーの原因は、ブラウザのバージョン、またはCloudflareのSSLベンダーのうち一つの注意を必要とする問題のどちらかです。正しく診断するために、ブラウザエラーを見つけた訪問者が提供する次の情報がついたサポートチケットを開けてください:
- https://aboutmybrowser.com/からの出力
- 訪問者ブラウザから https://example.com/cdn-cgi/trace の出の出力。example.com をWebサイトのドメイン名と置き換えてください。
SSLの期限切れまたはSSLの不一致エラー
兆候
訪問者のブラウザで、SSLの有効期限またはSSLの不一致に関するエラーメッセージが出る。
解決方法
カスタムSSL証明書を使用する場合、まず有効期限が切れていないことを確認するか、代替のSSL証明書をアップロードします。
Cloudflareサポートに連絡して、以下の情報を提供してください:
- 影響を受けたドメイン名、
- 認められるエラーのスクリーンショット。