Ошибка 526 появляется не на стороне браузера и не в панели Cloudflare «сама по себе». Обычно это сигнал о том, что Cloudflare смог дойти до origin-сервера, но не смог доверять SSL-сертификату, который этот сервер показывает. Для владельца сайта это неприятный сценарий: сайт может выглядеть живым, хостинг может отвечать, а посетители все равно будут видеть ошибку.
Проблема особенно опасна после перевыпуска сертификата, переноса сайта, включения проксирования через Cloudflare или смены настроек HTTPS. Если действовать наугад, легко сделать хуже: например, временно открыть сайт ценой ослабления SSL-проверки и забыть вернуть безопасный режим обратно. Ниже разберем, что означает ошибка 526, где именно ее искать и как пройти проверку по шагам.
Что означает ошибка 526 Invalid SSL Certificate
По документации Cloudflare ошибка 526 означает, что сервис не может проверить SSL-сертификат на origin-сервере и поэтому не устанавливает безопасное соединение до сайта. Чаще всего это происходит, когда в Cloudflare включен режим `Full (strict)`, а сертификат на стороне origin не проходит проверку.
Проще говоря, связка выглядит так:
- посетитель открывает сайт через Cloudflare;
- Cloudflare идет на ваш сервер по HTTPS;
- сервер отдает сертификат;
- Cloudflare видит, что с сертификатом или его цепочкой что-то не так;
- вместо страницы пользователь получает `526 Invalid SSL Certificate`.
Важно не путать эту ситуацию с `525 SSL Handshake Failed`. Ошибка `525` чаще указывает на сбой самого TLS-рукопожатия, а `526` говорит именно о недоверии к сертификату на origin.
Почему возникает ошибка 526
У этой ошибки обычно не одна абстрактная причина, а несколько вполне проверяемых сценариев.
Сертификат истек или был выпущен не для того домена
Если на сервере стоит сертификат для `site.ru`, а запрос идет к `www.site.ru`, проверка может не пройти. Та же проблема возникает, если сертификат уже истек, но в панели хостинга это вовремя не заметили.
Практический пример: владелец продлил домен и был уверен, что вместе с этим автоматически продлился SSL. Но на origin остался старый сертификат, и после включения `Full (strict)` посетители начали видеть ошибку 526.
На origin стоит самоподписанный сертификат
Cloudflare в строгом режиме не доверяет обычному self-signed сертификату по умолчанию. Для такой схемы нужен либо сертификат от доверенного центра сертификации, либо Cloudflare Origin CA, либо отдельная настройка доверия для self-signed сертификата.
На сервере не хватает промежуточного сертификата
Частая ситуация после ручной установки SSL: основной сертификат загружен, а intermediate certificate забыли. В браузере сайт иногда может открываться, а вот внешняя проверка по цепочке доверия уже ломается.
Сервер показывает не тот сертификат
Так бывает после миграции на другой сервер, смены веб-сервера или неправильной настройки виртуального хоста. Например, на один IP повесили несколько сайтов, а HTTPS-конфигурация отдает сертификат соседнего проекта.
Включен Full (strict), но origin не готов к строгой проверке
Cloudflare рекомендует использовать `Full (strict)` как наиболее безопасный режим, но только если origin действительно отдает корректный сертификат, принимает HTTPS на 443 порту и показывает имя хоста, совпадающее с запросом.
Как проверить ошибку 526 по шагам
Ниже порядок проверки, который помогает не тратить время на хаотичные действия.
1. Уточните, где именно возникает ошибка
Проверьте, видят ли ошибку все пользователи или только часть трафика. Если проблема появилась сразу после перевыпуска SSL, переноса сайта или включения Cloudflare, начните именно с сертификата origin, а не с CMS и не с кода страницы.
Если у вас настроен мониторинг, посмотрите время первого сбоя. Так проще связать инцидент с недавними изменениями: релизом, работами на хостинге, заменой сертификата или изменением DNS.
2. Проверьте сертификат на origin напрямую
Нужно убедиться, какой сертификат реально отдает сервер без догадок. Обычно для этого:
- временно проверяют origin напрямую, минуя прокси;
- смотрят срок действия сертификата;
- проверяют, совпадает ли домен в `CN` или `SAN`;
- убеждаются, что цепочка сертификатов полная.
Если вы используете Cloudflare Origin CA, важно помнить: такой сертификат подходит для соединения между Cloudflare и origin, но не должен использоваться как обычный публичный сертификат для прямого захода пользователя на сайт.
3. Сверьте hostname с сертификатом
Проверьте все варианты, через которые реально открывают сайт:
- `site.ru`;
- `www.site.ru`;
- служебные поддомены;
- поддомен админки или API, если он идет через Cloudflare.
Практический пример: сертификат выпущен только для `site.ru`, а редирект ведет посетителя на `www.site.ru`. Снаружи это выглядит как внезапная ошибка Cloudflare, хотя проблема в покрытии имен сертификатом.
4. Проверьте цепочку сертификатов
Если сертификат выпущен корректно, но сервер не отдает промежуточные сертификаты, Cloudflare может не построить доверенную цепочку до корневого центра. После ручной установки SSL это одна из самых частых причин.
Если у вас уже была похожая ситуация, полезно дополнительно свериться с материалом SSL-сертификат действителен, но сайт не открывается: проверьте цепочку.
5. Проверьте режим SSL/TLS в Cloudflare
Если в панели включен `Full (strict)`, origin обязан соответствовать строгим требованиям. Если сертификат еще не исправлен, временный переход на `Full` иногда помогает быстро вернуть доступность сайта, но это именно временный обходной вариант, а не полноценное решение.
Нормальная конечная цель такая:
- на origin установлен корректный сертификат;
- hostname совпадает;
- цепочка полная;
- порт `443` принимает HTTPS;
- Cloudflare работает в `Full (strict)`.
6. Если используете self-signed, решите вопрос правильно
Для типового сайта безопаснее поставить сертификат от доверенного УЦ или использовать Cloudflare Origin CA на origin. Если проект сложный, с нестандартной схемой проксирования, лучше отдельно проверить, какой сертификат нужен именно для вашего маршрута трафика.
Нужно ли сразу переключать Full (strict) на Full
Это допустимо как короткая диагностическая мера, если бизнесу критично быстро вернуть сайт в работу. Но оставлять сайт в таком режиме надолго не стоит. Иначе вы скрываете реальную проблему с сертификатом вместо того, чтобы ее исправить.
Хорошая практика такая:
- Временно вернуть доступность, если это действительно нужно.
- Исправить сертификат и цепочку на origin.
- Проверить домен и поддомены.
- Вернуть `Full (strict)`.
- Убедиться, что ошибка больше не повторяется.
Как не пропускать такие проблемы в будущем
Ошибка 526 часто приходит не из-за сложного SSL, а из-за обычного отсутствия контроля после изменений. Чтобы не ловить ее в последний момент, полезно:
- вести список доменов и поддоменов, которые идут через Cloudflare;
- проверять сертификат после перевыпуска, миграции и смены DNS;
- следить не только за сроком действия SSL, но и за доступностью сайта по HTTPS;
- отдельно контролировать важные страницы, а не только главную;
- фиксировать дату изменений, чтобы потом быстрее искать причину инцидента.
Если хотите заранее проверить базовые вещи, пригодится статья Как проверить SSL-сертификат сайта и срок его действия.
Чтобы не узнавать о таких сбоях от клиентов, можно настроить автоматический мониторинг в Web-Puls: он помогает быстрее заметить, что сайт перестал открываться по HTTPS, и не тратить время на ручные проверки по кругу.
Если проблема уже случилась и нужно не только увидеть ошибку, но и быстро восстановить сайт, сертификат или HTTPS-схему, можно оставить заявку на профессиональную поддержку через форму поддержки или использовать контакты на странице контактов.
Вывод
Ошибка 526 означает, что Cloudflare не доверяет сертификату на origin-сервере. В большинстве случаев причина находится в одной из четырех точек: срок действия сертификата, имя домена в сертификате, неполная цепочка или неверная схема HTTPS на origin.
Главное правило простое: не лечить ошибку 526 только переключателем режима SSL, а проверять сам origin. Тогда проблему можно устранить надолго, а не до следующего перевыпуска сертификата или смены сервера.