Ayant un petit peu galéré pour passer en SSL/TLS full strict entre Cloudflare et un multi-site OVH, je vais en profiter pour faire partager la façon pour y arriver.
J’étais jusqu’à présent en mode Full mais non strict dans configuration SSL/TLS de Cloudflare mais en activant le mode Full Strict j’avais une erreur 526 de certificat SSL du type:
Evidemment, j’avais du supprimer mes certificats SSL des domaines passés en DNS chez Cloudflare de mon hébergement OVH.
J’ai bien sûr tout d’abord tenté de les restaurer en reconfigurant chaque domaine et lui attribuant un certificat SSL puis en regénérant le certificat SSL de l’hébergement.
Peine perdue, à chaque régénération, le certificat SSL du domaine se retrouvait à l’état “désactivé”.
Il a donc fallu trouver comment forcer cette régénération, sans bien sûr casser tout un système qui fonctionne.
Le truc a été en fait plutôt simple: désactiver auparavant le proxy Cloudflare pour les domaines. Ca se passe dans la zone DNS et pour chaque domaine, il suffit de désactiver (temporairement) le proxy puis aller sur OVH regénérer les certificats SSL.
Une fois les certificats SSL générés chez OVH, il faut retourner sur Cloudflare et réactiver les proxys.
Ensuite, il est possible de bascule le mode SSL/TLS Full Strict sans se retrouver avec des erreurs de certificats puisque le serveur d’origine à désormais ses propres certificats SSL.
Ca à l’air de fonctionner pour le moment, pourvu que ça dure!
Pourquoi activer ce mode SSL/TLS Full Strict entre Cloudflare et un multi-site OVH?
Si la raison principale est probablement la sécurité, pour ma part je rencontre énormément d’erreur 520 entre Cloudflare et OVH. Je ne sais pas si basculer dans ce mode amènera quelque chose mais je me suis dit que ca pouvait valoir la peine d’être tenté pour réduire ces erreurs 520.
Autre astuce Cloudflare et OVH, découvrez comment faire un enregistrement DS sur OVH avec DNSSEC Cloudflare.
Bonjour,
Merci pour votre partage !
Et après ce passage de Full à Full Strict, avez-vous moins de 520 ?
François
Bonjour,
Malheureusement non, c’est manifestement une fausse piste pour ces erreurs 520!