Ошибка Cloudflare 525 появляется, когда Cloudflare смог подключиться к origin-серверу, но SSL-соединение не установилось.

Обычно проблема в сертификате на сервере, режиме SSL в Cloudflare, SNI, цепочке сертификатов или настройках nginx/apache.

Почему это мешает работе

Для пользователя сайт полностью недоступен по HTTPS, хотя DNS и Cloudflare могут выглядеть нормально. Поэтому 525 нужно проверять на стороне origin, а не только в панели CDN.

Частые причины

  • на origin нет валидного SSL-сертификата
  • режим Full Strict требует доверенный сертификат
  • сертификат истек
  • неверная цепочка intermediate
  • nginx отдает не тот сертификат
  • SNI или домен настроены неправильно

План проверки

  1. Проверить SSL-режим Cloudflare.
  2. Проверить сертификат origin-сервера напрямую.
  3. Посмотреть nginx/apache-конфиг для домена.
  4. Проверить срок и цепочку сертификата.
  5. После правки повторить проверку через Cloudflare и напрямую.

Что лучше не делать

  • переключать SSL в Flexible без понимания последствий
  • удалять сертификаты наугад
  • путать 525 с DNS-ошибкой
  • оставлять сайт без HTTPS на origin

Как я решаю такую задачу

Я проверяю Cloudflare и origin отдельно: сначала режим SSL и сертификат, затем конфиг веб-сервера и корректность домена.

  1. Уточняю симптом, пример страницы или команды и время появления проблемы.
  2. Проверяю логи, настройки, окружение и реальные ответы сервисов.
  3. Исправляю минимально достаточную часть, чтобы не сломать рабочие сценарии.
  4. Тестирую результат на типовом сценарии клиента или администратора.
  5. Передаю краткое объяснение причины и профилактику на будущее.

Что подготовить для оценки

  • ссылку на сайт, сервис или репозиторий, если он нужен
  • текст ошибки, скриншот или вывод команды
  • что меняли перед появлением проблемы
  • доступ к панели, серверу или сервису только если без него нельзя проверить
  • приоритет: быстро восстановить работу или спокойно разобраться в причине

Сроки

Замена сертификата origin30-90 минут
nginx/apache и цепочка SSL1-2 часа
Сложная схема с несколькими доменамипосле проверки

Вопрос-ответ

525 и 522 — это одно и то же?

Нет. 522 — Cloudflare не подключился к серверу, 525 — подключился, но SSL handshake не прошел.

Можно ли поставить Cloudflare Origin Certificate?

Да, если сайт работает через Cloudflare. Но его нужно правильно установить на origin.

Почему ошибка появилась после смены режима SSL?

Full Strict требует валидный сертификат на сервере. Если его нет или он неверный, появится 525.

Итог

Cloudflare 525 лечится проверкой SSL на origin-сервере. Нужно привести сертификат, цепочку и режим Cloudflare к одной рабочей схеме.

Если нужна похожая диагностика или доработка, напишите в Telegram: @rabotator_support. Посмотрю симптомы, уточню детали и предложу понятный план исправления.