Error 525 และ 526 SSL Handshake Failed บน Cloudflare สาเหตุและวิธีแก้ไข

Categories

Error 525 และ 526 บน Cloudflare เกี่ยวข้องกับปัญหา SSL โดยเฉพาะ ถ้าคุณใช้งาน VPS หรือ Cloud Hosting และเปิดใช้ Cloudflare การตั้งค่า SSL ที่ถูกต้องจะช่วยหลีก Error เหล่านี้ได้

Error 525 — SSL Handshake Failed

Error 525 เกิดขึ้นเมื่อ Cloudflare พยายามสร้าง SSL Connection บน Origin Server แต่ทำ SSL Handshake ไม่สำเร็จ ช่วงนี้ SSL Mode ต้องเป็น Full หรือ Full (Strict)

สาเหตุที่พบบ่อย

  • SSL Certificate บน Origin Server หมดอายุ
  • Web Server ไม่ได้ตั้งค่า HTTPS (Port 443)
  • Cipher Suite ที่ Web Server ใช้ไม่ Compatible กับ Cloudflare
  • SSL Certificate ไม่ได้ติดตั้งอย่างถูกต้อง

วิธีแก้ไข

# 1. ตรวจสอบ SSL Certificate บน Server
openssl s_client -connect your-server-ip:443 -servername yourdomain.com

# 2. ตรวจสอบวันหมดอายุ Certificate
echo | openssl s_client -connect your-server-ip:443 2>/dev/null | openssl x509 -noout -dates

# 3. ตรวจสอบว่า Nginx ตั้งค่า HTTPS อยู่หรือไม่
grep -r 'ssl_certificate\|listen 443' /etc/nginx/

# 4. หาก Let's Encrypt หมดอายุ ต่ออายุ
certbot renew --force-renewal

Error 526 — Invalid SSL Certificate

Error 526 เกิดเมื่อ Cloudflare SSL Mode ตั้งเป็น Full (Strict) แต่ SSL Certificate บน Origin Server ไม่แล้ว หรือ Certificate ไม่ Valid (เช่น Self-signed ที่ไม่ได้ไว้ใจ หรือ หมดอายุ)

ความแตกต่างระหว่าง 525 และ 526

รายการ Error 525 Error 526
สาเหตุ SSL Handshake ล้มเหลว Certificate ไม่ Valid
SSL Mode ที่เกิด Full หรือ Full (Strict) Full (Strict) เท่านั้น
วิธีแก้ไข ติดตั้ง/ต่ออายุ SSL Cert ติดตั้ง Valid Cert หรือเปลี่ยนเป็น Full

วิธีแก้ไข Error 526

ทางเลือตที่ 1: ติดตั้ง Valid SSL Certificate บน Server

# ติดตั้ง Let's Encrypt Certificate ผ่าน Certbot
apt install certbot python3-certbot-nginx -y
certbot --nginx -d yourdomain.com -d www.yourdomain.com

# หรือใช้ Cloudflare Origin Certificate (รองรับ 15 ปี)
# ไปที่ Cloudflare Dashboard > SSL/TLS > Origin Server > Create Certificate

ทางเลือตที่ 2: เปลี่ยน SSL Mode ใหเป็น Full (หากเป็น Self-signed Cert)

  1. ไปที่ Cloudflare Dashboard > SSL/TLS > Overview
  2. เปลี่ยนจาก Full (Strict) เป็น Full
  3. แล้วติดตั้ง Valid Certificate ภายหลัง แล้วเปลี่ยนกลับมาเป็น Full (Strict)

วิธีป้องกัน SSL Error ในอนาคม

  • ตั้งค่า Auto-renewal สำหรับ Let’s Encrypt Certificate
  • ใช้ Cloudflare Origin Certificate แทนเพื่อหลีกปัญหา Certificate หมดอายุ
  • ตั้งค่า Alert ใน Cloudflare เพื่อแจ้งเตือนก่อน Certificate จะหมดอายุ 30 วัน
# ตั้งค่า Auto-renewal สำหรับ Let's Encrypt
# เพิ่ม Cron Job
crontab -e
# เพิ่มบรรทังนี้
0 3 * * * certbot renew --quiet --deploy-hook "systemctl reload nginx"

สรุป

Error 525 และ 526 แก้ไขได้โดยการตรวจสอบและติดตั้ง SSL Certificate ที่ถูกต้องบน Origin Server หรือปรับ SSL Mode ใหเหมาะสม สำหรับ VPS แนะนำใหสูงติดตั้ง Let’s Encrypt หรือ Cloudflare Origin Certificate แล้วตั้ง SSL Mode เป็น Full (Strict) เสมอ