如何启用 cloudflare 的 cdn? ERR_SSL_VERSION_OR_CIPHER_MISMATCH

2021-01-24 20:15:52 +08:00
 la0wei

有个欧洲的 vps,上面用 caddy 架设了个 index,有近百个常用软件,绑定了域名 d1.xxxxx.xyz d2.xxxxx.xyz

其中 d1 启用 http,因为我习惯使用的下载软件 orbitdownloader 对 caddy 申请的 letsencrypt 证书似乎有兼容问题,会 ssl 握手失败。

d2 启用 caddy 申请的 letsencrypt 证书

链接如下 http://d1.xxxx.xyz https://d2.xxxxxxyz

在 cloudflare 对这两个域名点亮云朵,并设置 ssl 为完全(严格),cf 其他配置未作任何修改。

此时,http://d1.xxxx.xyz 解析为 cf 的 ip,但是访问时浏览器并没有提示使用了 https 。

此时,https://d2.xxxx.xyz 解析为 cf 的 ip,但是浏览器无法打开网站,提示 ERR_SSL_VERSION_OR_CIPHER_MISMATCH,协议不受支持.客户端和服务器不支持一般 SSL 协议版本或加密套件。

关闭云朵,ssl 为完全(严格),cf 其他配置未作任何修改。

https://d2.xxxx.xyz 可以正常访问,但是本地 hosts 修改域名 ip 为 cf 的 ip 后,显示同上面的错误。不能实现类似 v2 修改域名为 cf 的 ip 实现加速的效果。

现在两个问题,1 是怎么能够点亮云朵后正常访问。2 是不开启云朵,不用 cf partner 的情况下,在本地编辑 hosts,实现自选 ip

1951 次点击
所在节点    问与答
8 条回复
lostberryzz
2021-01-24 20:27:13 +08:00
如果要 cf 自选 ip 加速访问,源站不需要申请 le 证书直接监听 80 端口,cf ssl 设置为灵活即可正常回源,点亮云朵,本地编辑 hosts 即可。

根本不需要两个域名,你这一套方案过于复杂而且不能解决问题。
la0wei
2021-01-24 21:25:46 +08:00
@lostberryzz 80 的那个是为了下载工具而特别设置的,orbitdownloader 这个下载软件很久没更新了,可能对 ssl 支持有问题,所以保留了一个 80 的给他专用

80 点亮云朵,ssl 设置为灵活,但是浏览器并没有显示 ssl,明显感觉到网站加载速度加快了。但这又和该域名下的 v2 冲突了。我 v2 也用的自选 ip,在 ssl 灵活设置时无法使用,只能在 full 严格时用,所以互斥了。

假设不考虑 v2 的问题,80 端口开启,点亮云朵,ssl 设置为灵活,浏览器和 cf 之间似乎没有加密,因为我被重定向到移动的缓存服务器了……久违的移动劫持又来了
la0wei
2021-01-24 21:28:43 +08:00
@lostberryzz 所以看来站点必须要上 https 了,因为灵活模式下似乎没有 ssl 加密,不然有被劫持风险。
比较头疼的是,就是因为在站点开启 https 后,要么开启云朵,此时报错,要么不开启云朵,但是自选 ip 还是没法用,头大
lostberryzz
2021-01-24 22:01:39 +08:00
1. orbitdownloader 我没有用过,你说的 ssl 支持问题,简单的搜索一下发现问题可能是因为 openssl 版本的关系,支持的 tls 最高版本可能是 1.0 ( http://rtfreesoft.blogspot.com/2019/09/orbit-downloader-downloaddll-tls-12-hack.html ),试试修改下 cf 面板相关设置?
2. v2 在 ssl 设置为灵活时一样可以使用,在 caddy 里对 v2 相关子域名关闭 80 端口只监听 443 端口,cf 会自动反代 443 端口。
3. 劫持只存在于移动-CF 这一段,和灵活模式没有任何关系,和你是否设置强制 https 有关。
la0wei
2021-01-24 22:46:42 +08:00
@lostberryzz 非常感谢耐心解答。
1.orbitdownloader 这个软件我用很多年了,前几年 caddy 在 v1 的时候还和 caddy 作者提交过相关的问题,奈何我水平不够,无法提供较多信息,不了了之,没想到 2019 年有同好还研究了这个。
2.v2 我没有在 cf 里点亮云朵,只是在客户端指定了 ip 。ssl 设置灵活确实默认会回源 80 端口,严格则 443,难怪我设置灵活时发现没法用。
3.因为 1 的问题解决不了,不能强制 https,然后就被移动打劫了。

现在就证书错误这个问题没解决,奇葩的是,一开启 le 的证书,就不能点亮云朵,否则浏览器就报证书错误,我明天再排列组合试试看。
cf 果然强大,以前就只用 dns 太浪费了,cdn,证书什么的都值得学习
la0wei
2021-01-26 14:44:03 +08:00
@lostberryzz 反馈下测试结果
关闭云朵,关闭 cf 的强制 https,关闭 caddy 自动 80 重定向到 cf,ssl 设置为灵活,无法访问网站,出现 cf 错误页面,显示 cf 到服务器错误,web server is down
关闭云朵,关闭 cf 的强制 https,关闭 caddy 自动 80 重定向到 cf,ssl 设置为严格,可以访问网站,且本地 hosts 指定 ip 也可以
lostberryzz
2021-01-26 15:30:13 +08:00
@la0wei 关闭云朵,理论上流量不会走 cf 了,你肯定是哪里设置有问题,而且你的描述也不清楚。
la0wei
2021-01-26 16:00:08 +08:00
@lostberryzz 关闭云朵是可以使用 cf 的 cdn 的,是从别处看来的,而且实际测试确实可行,看起来是个 bug,但目前来说是 feature,什么时候更改就无法预知了。我移动宽带从高峰期几乎不能用 v2,到现在差不多有 50Mb 的速度,已经非常满意了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/747936

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX