我在DigitalOcean有两台服务器。每个都有2个SSL和&通过Cloudflare进行DNS设置。它们都是相同的设置(nginx)。
昨天升级其中一台服务器后,我在尝试访问这两个站点时开始收到错误,525 SSL握手失败。虽然服务器上尚未更新的2个站点工作正常。
我使用的是Ubuntu 14.04.5 LTS(GNU / Linux 3.13.0-57-generic x86_64)
以下是更新的软件包:
apt
apt-transport-https
apt-utils
bind9-host
dnsutils
isc-dhcp-client
isc-dhcp-common
libapt-inst1.5
libapt-pkg4.12
libbind9-90
libdbd-mysql-perl
libdns100
libisc95
libisccc90
libisccfg90
liblwres90
libpython3.4-minimal
libpython3.4-stdlib
libssl-dev
libssl-doc
libssl1.0.0
linux-libc-dev
ntp
ntpdate
openssl
php5-cli
php5-common
php5-curl
php5-fpm
php5-gd
php5-mysql
php5-readline
python3-update-manager
python3.4
python3.4-minimal
tzdata
update-manager-core
我一直试图找到其中一个可能破坏了网站,但没有。看起来链接可能是openssl或apt-transport-https。有没有遇到类似问题的人?
答案 0 :(得分:0)
在您的方案中要检查两个主要内容,尽管Cloudflare知识库还有一些可能对您有用的525 error debugging steps。
原始服务器使用的cipher suites that Cloudflare accepts和密码套件可能不匹配。 Cloudflare仅支持TLS 1,1.1和1.2(测试版为TLS 1.3);不支持旧版SSLv3或SSLv2协议。 Cloudflare还支持受限制的密码列表。确保您的OpenSSL版本支持cipher suites that Cloudflare support。
同时确保如果Cloudflare SSL配置设置为" Full",您的源服务器需要能够接受入站SSL连接,如果设置为"完全(严格)&# 34;您的网络服务器需要安装签名证书或Cloudflare Origin CA certificate。仅在灵活SSL模式下,Cloudflare才会终止SSL连接。
最好测试您的SSL配置,直接到您的原始Web服务器以查看问题所在;使用OpenSSL,您可以检查是否可以建立连接:
openssl s_client -connect [origin server IP]:443
然后,您可以使用以下方法测试TLSv1支持:
openssl s_client -connect [origin server IP]:443 -tls1