Ошибка 525 с Cloudflare и Google Cloud Run

Question

Недавно на моем промежуточном веб-сайте произошла ошибка 525.

Это означает, что исходный сервер не доверяет Cloudflare, но вот уже 6 месяцев я ничего не трогал между Cloud Run и Cloudflare.

Чтобы он снова заработал, мне пришлось поместить Cloudflare в Full (Not strict) Mode.

Как вы думаете, эта проблема была вызвана обновлением сертификата Cloudflare? В таком случае мне нужно поместить Cloudflare Origin CA в Cloud Run, но я ничего не могу найти об этом.

Надеюсь, вы можете мне помочь, спасибо!

Answer 1

Мы расследуем это. Похоже, проблема в том, что сертификат TLS для вашего домена истекает через 88 дней и не продлевается.

В настоящее время это связано с тем, как работает наш CA (и сколько других CA, таких как Letsencrypt, тоже работает). Обычно центрам сертификации не разрешается выдавать сертификаты без подтверждения использования.

Например, когда вы указали свои записи DNS в Cloud Run при настройке сопоставления домена, вы доказали, что собираетесь работать в Google Cloud. Запустите, значит, центр сертификации Google подготовил для вас сертификат.

Затем вы изменили записи DNS, чтобы они указывали на Cloudflare, поэтому центр сертификации не может больше проверять, что вы используете Cloud Run, и, следовательно, не может выдавать сертификат обновления.

Я надеюсь обновить там если / когда у нас есть решение, которое может позволить эту настройку.

Answer 2

Это не имеет ничего общего с сертификатом Cloudflare, но произойдет, если сертификат исходного сервера каким-либо образом недействителен. Убедитесь, что срок действия сертификата источника не истек, и он подписан доверенным root CA. Если ему не доверяет root CA, для решения этой проблемы также можно использовать сертификат, выданный не root доверенным облачным хранилищем.