Cloudflare SSL Mimarisi
Cloudflare, web siteniz ve ziyaretçileriniz arasında bir reverse proxy olarak çalışır. SSL bağlantıları iki aşamada gerçekleşir:
- Ziyaretçi ↔ Cloudflare: Cloudflare'ın Universal SSL sertifikası kullanılır
- Cloudflare ↔ Origin Sunucu: Origin sunucunuzdaki SSL sertifikası kullanılır (Full/Strict modda)
Bu iki katmanlı yapı nedeniyle, Cloudflare'a özgü SSL hataları oluşabilir.
Cloudflare SSL Modları
| Mod | Ziyaretçi ↔ CF | CF ↔ Origin | Origin SSL Gerekli? |
|---|---|---|---|
| Off | HTTP | HTTP | Hayır |
| Flexible | HTTPS | HTTP | Hayır |
| Full | HTTPS | HTTPS | Self-signed yeterli |
| Full (Strict) | HTTPS | HTTPS | Geçerli sertifika |
Error 525: SSL Handshake Failed
Cloudflare ile origin sunucu arasında SSL handshake başarısız olduğunda bu hata oluşur.
Nedenleri
- Origin sunucuda SSL sertifikası yok (Full/Strict modda)
- Origin sertifikası self-signed ve mod "Full (Strict)"
- Origin sunucuda eski TLS sürümü (TLS 1.0/1.1)
- Sertifika ve key eşleşmemesi
- Origin sunucu port 443'ü dinlemiyor
Çözüm
- Origin sunucuda SSL sertifikası kurun (Cloudflare Origin Certificate ücretsiz)
- SSL modunu "Full" veya "Full (Strict)" yapın
- TLS 1.2+ aktif edin
- Port 443'ün açık ve doğru yapılandırıldığından emin olun
# Cloudflare Origin Certificate oluşturma:
# Dashboard → SSL/TLS → Origin Server → Create Certificate
# Geçerlilik: 15 yıla kadar (yalnızca Cloudflare proxy arkasında çalışır)Error 526: Invalid SSL Certificate
"Full (Strict)" modda origin sunucudaki SSL sertifikası geçersiz veya güvenilir değilse bu hata oluşur.
Nedenleri
- Origin sertifikası süresi dolmuş
- Self-signed sertifika (Strict modda ret edilir)
- Sertifika domain'le eşleşmiyor
- Ara sertifika zinciri eksik
Çözüm
- Güvenilir CA'dan geçerli sertifika kullanın veya Cloudflare Origin Certificate oluşturun
- SSL modunu "Full" olarak değiştirin (geçici çözüm — self-signed kabul eder)
- Origin sertifikanızın domain'le eşleştiğini ve ara zincirin tam olduğunu doğrulayın
Error 521/522: Origin Erişim Sorunları
Doğrudan SSL hatası olmasa da SSL yapılandırmasıyla ilişkili olabilir:
- 521 (Web Server is Down): Origin sunucu çalışmıyor. Web sunucuyu başlatın.
- 522 (Connection Timed Out): Cloudflare origin'e ulaşamıyor. Firewall'da Cloudflare IP'lerini whitelist'e ekleyin.
# Cloudflare IP aralıklarını whitelist yapın
# https://www.cloudflare.com/ips/
# Nginx ile:
allow 173.245.48.0/20;
allow 103.21.244.0/22;
allow 103.22.200.0/22;
allow 103.31.4.0/22;
allow 141.101.64.0/18;
allow 108.162.192.0/18;
allow 190.93.240.0/20;
allow 188.114.96.0/20;
allow 197.234.240.0/22;
allow 198.41.128.0/17;
deny all;Redirect Loop (Yönlendirme Döngüsü)
"Flexible" SSL modunda origin sunucuda HTTP→HTTPS yönlendirmesi varsa sonsuz döngü oluşur.
Çözüm
- En iyi: SSL modunu "Full (Strict)" yapın ve origin'de gerçek SSL sertifikası kullanın
- Alternatif: Origin sunucudaki HTTP→HTTPS yönlendirmesini kaldırın (Flexible modda)
- "Always Use HTTPS" özelliğini Cloudflare Dashboard'da aktif edin
Mixed Content Sorunları
Cloudflare "Flexible" modda olduğunda, origin HTTP olarak çalıştığı için kodda http:// URL'ler üretilir. Ziyaretçi HTTPS ile bağlandığı için Mixed Content oluşur.
Çözüm
- Cloudflare Dashboard → SSL/TLS → Edge Certificates → "Automatic HTTPS Rewrites" aktif edin
- Origin'de SSL kurup "Full (Strict)" moda geçin (kök çözüm)
Cloudflare SSL Yapılandırma Kontrol Listesi
| Kontrol | Önerilen Ayar |
|---|---|
| SSL Mode | Full (Strict) |
| Always Use HTTPS | Açık |
| Automatic HTTPS Rewrites | Açık |
| Minimum TLS Version | TLS 1.2 |
| TLS 1.3 | Açık |
| HSTS | Etkin (max-age: 1 yıl) |
| Origin Certificate | Kurulu |
Sonuç
Cloudflare SSL hataları genellikle yanlış SSL modu seçiminden kaynaklanır. "Full (Strict)" modu + origin sunucuda geçerli SSL sertifikası kombinasyonu, 525, 526 ve redirect loop hatalarının tamamını önler. Cloudflare Origin Certificate, ücretsiz ve 15 yıla kadar geçerli bir çözüm sunar.
