トラブルシューティング
エッジ証明書のサイファースイートに関する問題が発生した場合は、以下のシナリオを参照してください。
ドメインの最小TLSバージョンの設定を調整すると、ドメインはそのTLSプロトコルバージョンを使用したHTTPS接続のみを許可します。
この設定は、ドメインでTLS 1.2のサイファーをサポートしていない場合に問題を引き起こす可能性があります。問題が発生した場合は、ドメインの最小TLSバージョンの設定とCloudflareのサポートされているサイファーリストを確認してください。
カスタム証明書をアップロードする場合は、証明書がゾーンまたはホスト名の選択したサイファースイートと互換性があることを確認してください。
たとえば、RSA証明書をアップロードする場合、サイファースイートの選択はECDSA証明書のみをサポートすることはできません。
Cloudflare Pagesのホスト名に対して最小TLSバージョンやサイファースイートを構成することはできません。
カスタムホスト名の編集エンドポイントを使用する際は、sslオブジェクト内にtypeとmethodを含め、settingsの仕様も含めるようにしてください。
settingsのみを含めると、エラーメッセージThe SSL attribute is invalid. Please refer to the API documentation, check your input and try againが表示されます。
You cannot set specific TLS 1.3 ciphers. Instead, you can enable TLS 1.3 for your entire zone and Cloudflare will use all applicable TLS 1.3 cipher suites.
In combination with this, you can still disable weak cipher suites for TLS 1.0-1.2.
Qualys SSL Labs ↗の報告に従って、すべてのWEAKサイファースイートを無効にしようとすると、命名規則が同じではないことに気付くかもしれません。
これは、SSL LabsがRFCサイファー命名規則に従い、CloudflareがOpenSSLサイファー命名規則に従っているためです。OpenSSLのドキュメント ↗に記載されているサイファースイート名のリストが、名前をマッピングするのに役立つかもしれません。
Cloudflare上のアプリケーションはCVE-2019-1559に対して脆弱ではありませんが、一部のセキュリティスキャナーが誤ってアプリケーションをフラグ付けすることがあります。
これらの警告を取り除くには、サイファースイートをカスタマイズし、以下のサイファーを除外してください:
ECDHE-ECDSA-AES256-SHA384ECDHE-ECDSA-AES128-SHA256ECDHE-RSA-AES256-SHA384