FixPedia
Другое 526Высокая

Ошибка 526 в Cloudflare: исправляем Invalid SSL Certificate

Статья объясняет причину ошибки 526 в Cloudflare и предоставляет пошаговые инструкции по исправлению SSL-сертификата на origin сервере для восстановления доступа к сайту.

Обновлено 23 марта 2026 г.
15-30 мин
Средняя
FixPedia Team
Применимо к:CloudflareNginx 1.10+Apache 2.4+

Что означает ошибка 526

Cloudflare возвращает ошибку 526 Invalid SSL Certificate, когда не может проверить SSL-сертификат вашего origin-сервера (сервера, находящегося за Cloudflare). Эта ошибка возникает только при использовании SSL-режимов Full или Full (strict), когда Cloudflare требует валидный сертификат на стороне origin.

Схема взаимодействия Cloudflare и origin-сервера при проверке SSL-сертификата

Схема взаимодействия Cloudflare и origin-сервера при проверке SSL-сертификата

Причины возникновения

  1. Просроченный SSL-сертификат на origin-сервере.
  2. Самоподписанный сертификат, не доверенный Cloudflare.
  3. Сертификат выдан для другого домена или поддомена.
  4. Неправильная конфигурация SSL, например, отсутствие промежуточных сертификатов.
  5. Отсутствие SSL-сертификата на origin-сервере при режимах Full/Full (strict).
  6. Использование устаревших шифров или протоколов, несовместимых с Cloudflare.

Способы решения

Проверка режима SSL в Cloudflare

Убедитесь, что в панели Cloudflare (SSL/TLS → Overview) выбран режим Full или Full (strict). Режим Flexible не вызывает ошибку 526, так как не проверяет SSL на origin, но небезопасен.

Интерфейс Cloudflare для выбора режима SSL: Full, Full (strict), Flexible

Интерфейс Cloudflare для выбора режима SSL: Full, Full (strict), Flexible

Диагностика SSL-сертификата на origin-сервере

Подключитесь к серверу по SSH и выполните:

openssl s_client -connect ваш-сервер:443 -servername ваш-домен | openssl x509 -noout -dates -subject -issuer
Терминал с выводом команды openssl s_client для проверки SSL-сертификата

Терминал с выводом команды openssl s_client для проверки SSL-сертификата

Проверьте вывод:

  • Даты notBefore и notAfter должны быть корректными.
  • Поле subject должно содержать ваш домен (например, CN=example.com).
  • issuer должен быть доверенным центром (Let's Encrypt, DigiCert и т.д.).
  • В выводе должны присутствовать промежуточные сертификаты (цепочка полная).

Если сертификат невалиден, переходите к установке нового.

Установка нового SSL-сертификата (Let's Encrypt)

Для Nginx:

sudo apt update && sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d ваш-домен

Следуйте инструкциям мастера. Проверьте автоматическое обновление:

sudo certbot renew --dry-run

Для Apache:

sudo apt update && sudo apt install certbot python3-certbot-apache
sudo certbot --apache -d ваш-домен

После установки перезапустите веб-сервер:

sudo systemctl restart nginx   # для Nginx
sudo systemctl restart apache2 # для Apache

Временное переключение на режим Flexible (не рекомендуется)

Для быстрого восстановления доступа временно измените режим SSL в Cloudflare на Flexible. Это обойдет проверку сертификата, но соединение между Cloudflare и вашим сервером станет незашифрованным.

⚠️ Важно: Режим Flexible снижает безопасность. Возвращайте Full или Full (strict) сразу после исправления сертификата.

Проверка и установка промежуточных сертификатов

Если сертификат валиден, но ошибка 526 сохраняется, проблема может быть в цепочке сертификатов.

  1. Получите полную цепочку от вашего центра (обычно включает корневой и промежуточные сертификаты).
  2. Для Nginx: в конфигурации SSL укажите файл с полной цепочкой (например, fullchain.pem от Let's Encrypt): 
    ssl_certificate /etc/letsencrypt/live/ваш-домен/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ваш-домен/privkey.pem;
  3. Для Apache: используйте SSLCertificateFile для сертификата и SSLCertificateChainFile для промежуточных (или объедините в один файл).
  4. Перезапустите веб-сервер и проверьте цепочку через SSL Labs SSL Test.

Завершающие действия

После любых изменений в SSL-конфигурации очистите кэш Cloudflare: в панели управления перейдите в Cache → Configuration и нажмите 'Purge Everything'. Это заставит Cloudflare заново проверить SSL-сертификат origin-сервера.

Профилактика

  • Регулярно проверяйте срок действия сертификатов (раз в месяц). Используйте мониторинг (Nagios, Zabbix) или онлайн-сервисы.
  • Настройте автоматическое обновление для Let's Encrypt через certbot (при установке добавляет cron-задачу).
  • Всегда используйте режим Full (strict) в Cloudflare для максимальной безопасности.
  • Проверяйте цепочку сертификатов с помощью SSL Labs раз в квартал.
  • Обновляйте веб-сервер и библиотеки OpenSSL для поддержки современных шифров.
  • Включите уведомления от Cloudflare о проблемах SSL (панель: Notifications).

Часто задаваемые вопросы

Почему возникает ошибка 526 в Cloudflare?
Как предотвратить появление ошибки 526?
Можно ли временно отключить SSL на origin сервере, используя Cloudflare?
Что делать, если сертификат Let's Encrypt автоматически не обновляется?

Полезное

Проверьте режим SSL в Cloudflare
Проверьте SSL-сертификат на origin сервере
Установите или обновите SSL-сертификат
Перезапустите веб-сервер
Очистите кэш Cloudflare

Эта статья помогла вам решить проблему?