Error 526 — Invalid SSL Certificate: как исправить ошибку Cloudflare

Error 526 — Invalid SSL Certificate означает, что Cloudflare смог подключиться к origin-серверу по HTTPS, но не смог подтвердить валидность SSL-сертификата, который отдаёт сервер. Проще говоря: защищённое соединение начинается, но сертификат на стороне origin не проходит проверку.

Обычно это происходит, когда в Cloudflare включён режим Full (strict), а на origin стоит просроченный, самоподписанный, неправильно выписанный или неполный сертификат. Ниже — чёткая инструкция, как быстро найти причину и убрать Error 526.

Быстрое решение

  • Проверьте, не истёк ли SSL-сертификат на origin-сервере.
  • Убедитесь, что сертификат выписан именно на ваш домен.
  • Проверьте, что цепочка сертификатов полная, включая intermediate certificates.
  • Убедитесь, что сертификат не самоподписанный и выпущен доверенным CA.
  • Проверьте SSL mode в Cloudflare: ошибка 526 характерна для Full (strict).
  • Если сайт работает только за Cloudflare, установите Cloudflare Origin CA certificate.
  • После исправления перезапустите веб-сервер и проверьте сайт снова.

Что означает Error 526

Error 526 появляется, когда Cloudflare подключается к origin-серверу по HTTPS, но не может доверять сертификату, который получает от origin. В отличие от Error 525, здесь проблема не в самом SSL handshake как процессе, а именно в том, что сертификат не проходит проверку.

То есть HTTPS на origin как будто есть, но для Cloudflare этот сертификат считается неправильным или небезопасным.

Когда возникает Error 526

Эта ошибка возникает, когда одновременно выполняются два условия:

  • в Cloudflare включён режим Full (strict);
  • Cloudflare не может валидировать SSL-сертификат на origin-сервере.

Если упростить: Cloudflare требует корректный origin SSL, а origin показывает сертификат, которому Cloudflare не доверяет.

Чем Error 526 отличается от Error 525

  • Error 525 — SSL handshake между Cloudflare и origin не прошёл.
  • Error 526 — handshake дошёл до проверки сертификата, но сертификат признан недействительным.

Это важное различие. При 526 соединение доходит дальше, но упирается уже в доверие к сертификату.

Почему возникает Error 526

Самые частые причины:

  • SSL-сертификат на origin истёк;
  • сертификат был отозван;
  • сертификат самоподписанный;
  • сертификат выпущен недоверенным центром сертификации;
  • имя домена не совпадает с Common Name или SAN в сертификате;
  • на сервере неполная цепочка сертификатов;
  • после миграции сайта установлен сертификат от другого домена;
  • на origin отдается не тот сертификат из-за ошибки в virtual host или SNI.

Когда ошибка 526 появляется чаще всего

На практике Error 526 часто возникает после перевода сайта в режим Full (strict), после переезда на другой хостинг, после переустановки SSL, после истечения сертификата или после ручной настройки HTTPS на сервере.

Также ошибка нередко появляется, когда сайт работает только через Cloudflare, а на origin забыли поставить нормальный сертификат или загрузили только сам сертификат без промежуточных.

Как исправить Error 526: пошаговая инструкция

1. Проверьте SSL mode в Cloudflare

Сначала откройте Cloudflare → SSL/TLS и посмотрите текущий режим.

  • Flexible — Cloudflare соединяется с origin по HTTP.
  • Full — Cloudflare соединяется по HTTPS, но не требует строгой валидации сертификата.
  • Full (strict) — Cloudflare соединяется по HTTPS и требует корректный, валидный сертификат на origin.

Ошибка 526 появляется именно в сценарии Full (strict), когда сертификат origin не проходит проверку.

2. Проверьте срок действия сертификата

Самая частая причина — банально истёкший сертификат. Проверьте дату окончания действия и убедитесь, что сертификат ещё активен.

Если срок истёк, выпустите новый сертификат и установите его на origin-сервер.

3. Проверьте, совпадает ли сертификат с доменом

Сертификат должен быть выдан на тот домен, который вы реально открываете через Cloudflare. Если сертификат выписан на другой домен, поддомен или старое имя сайта, Cloudflare его не примет.

Особенно часто это случается после переезда или копирования конфигурации с другого сайта.

4. Убедитесь, что сертификат не самоподписанный

Если на origin установлен self-signed certificate, Cloudflare в режиме Full (strict) обычно не примет его как доверенный. Это типичная причина Error 526.

Решение — установить сертификат от доверенного CA или использовать Cloudflare Origin CA certificate.

5. Проверьте цепочку сертификатов

Даже если сам сертификат выглядит правильным, сервер может отдавать неполную цепочку. Тогда браузер или Cloudflare не смогут построить доверие до корневого центра сертификации.

Проверьте, что на сервере установлены:

  • основной сертификат;
  • private key;
  • intermediate certificates;
  • корректный full chain bundle.

6. Проверьте, не отозван ли сертификат

Если сертификат был revoked, он уже не считается доверенным, даже если формально срок действия ещё не закончился. В таком случае нужно перевыпустить новый сертификат.

7. Проверьте, какой сертификат реально отдаёт origin

Иногда в панели хостинга всё выглядит правильно, но сервер на деле отдает другой сертификат. Это бывает из-за ошибки в SNI, неправильного virtual host, старой конфигурации Nginx/Apache или reverse proxy.

Проверьте, что именно ваш домен на 443 порту отдаёт нужный сертификат, а не сертификат другого сайта на сервере.

8. Используйте Cloudflare Origin CA certificate

Если сайт работает за Cloudflare постоянно, удобный вариант — установить Cloudflare Origin CA certificate. Такой сертификат предназначен именно для соединения между Cloudflare и origin и хорошо подходит для режима Full (strict).

Это один из самых быстрых способов убрать Error 526, если проблема именно в origin SSL.

9. Перезапустите веб-сервер после замены сертификата

После установки нового сертификата обязательно перезапустите Apache, Nginx или панельный веб-сервер. Без этого сервер может продолжать отдавать старый сертификат.

10. Проверьте сайт после исправления

После всех изменений откройте сайт снова через Cloudflare и убедитесь, что ошибка исчезла. Если проблема осталась, проверьте логи веб-сервера и SSL-конфигурацию ещё раз.

Advanced troubleshooting

  1. Проверьте origin сертификат через SSL checker.
  2. Убедитесь, что SAN содержит все нужные поддомены.
  3. Проверьте, не использует ли сервер старую конфигурацию после reload/restart.
  4. Проверьте SNI и virtual host для HTTPS.
  5. Сравните сертификат, который виден напрямую по origin IP и по домену.
  6. Проверьте, не конфликтуют ли несколько SSL-блоков в Nginx или Apache.
  7. Если используется балансировщик, проверьте сертификат на каждом узле.
  8. Если ошибка периодическая, смотрите error logs точно по времени сбоя.

Как избежать Error 526 в будущем

  • следите за сроком действия SSL-сертификатов;
  • всегда устанавливайте полную цепочку сертификатов;
  • не используйте самоподписанные сертификаты для origin в режиме Full (strict);
  • после миграции проверяйте, какой сертификат реально отдает сервер;
  • храните отдельный чеклист после смены хостинга или IP;
  • настройте напоминания о перевыпуске SSL;
  • для сайтов за Cloudflare используйте Cloudflare Origin CA certificate, если это подходит вашей схеме.

Когда нужно обращаться в поддержку

  • если сертификат вроде бы корректный, но Error 526 остаётся;
  • если вы не уверены, какой сертификат реально отдаёт origin;
  • если проблема появилась после переезда или изменений в Nginx/Apache;
  • если у вас нет доступа к SSL-конфигурации сервера;
  • если ошибка появляется только на отдельных поддоменах.

FAQ

Error 526 — это проблема Cloudflare или сервера?

Обычно это проблема на стороне origin-сервера: сертификат, цепочка сертификатов, hostname mismatch или неправильная SSL-конфигурация.

Может ли просроченный сертификат вызывать Error 526?

Да. Это одна из самых частых причин.

Поможет ли переход с Full (strict) на Full?

Иногда временно да, но это не исправляет саму проблему. Правильнее привести SSL на origin в порядок.

Что лучше поставить на origin — обычный SSL или Cloudflare Origin CA?

Если сайт всегда работает за Cloudflare, Origin CA — очень удобный вариант. Если origin должен открываться и напрямую, лучше полноценный сертификат от публичного CA.

Может ли неполная цепочка сертификатов вызывать Error 526?

Да. Если intermediate certificates не установлены, Cloudflare может не доверять сертификату origin.

Вывод

Error 526 — Invalid SSL Certificate означает, что Cloudflare не доверяет сертификату на origin-сервере. Чаще всего проблема в том, что сертификат истёк, выдан не на тот домен, самоподписан или установлен без полной цепочки.

Самый правильный порядок действий — проверить режим SSL в Cloudflare, затем срок действия сертификата, совпадение домена, цепочку сертификатов и уже после этого при необходимости установить новый сертификат или Cloudflare Origin CA. В большинстве случаев этого достаточно, чтобы быстро убрать ошибку.

 

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *