Cloudflare Full Strict: почему SSL-режим надо проверять после каждого DNS-изменения
DNS-запись может быть правильной, но SSL-цепочка все равно зависит от origin и режима Cloudflare.
Cloudflare часто создает ощущение, что если сайт открылся по HTTPS, значит SSL настроен. На практике важно понимать, где именно заканчивается TLS: у пользователя на Cloudflare edge и у Cloudflare на origin-сервере.
Почему Full Strict важен
В режиме Full Strict Cloudflare проверяет сертификат origin. Это хорошо: между Cloudflare и сервером тоже есть нормальная проверка, а не просто шифрование "как-нибудь".
Если origin-сертификат истек, выписан не на тот домен или nginx отдает не тот vhost, Full Strict покажет проблему. Flexible или обычный Full могут скрыть часть ошибок, но не исправят их.
Что проверять после DNS
После добавления поддомена:
- A/AAAA запись указывает туда, куда нужно;
- nginx знает
server_name; - сертификат выписан на этот hostname;
- HTTP редиректит на HTTPS;
- Cloudflare SSL mode не откатился;
curl -I https://domain/показывает ожидаемый ответ.
Почему это всплывает с AdSense и ботами
Люди часто проверяют сайт из своего браузера. Но Google, AdSense preview, RSS-читалки и боты идут другими путями. Если где-то есть редирект, challenge или неверный SSL, они могут увидеть не то, что видит владелец сайта.
Вывод
После DNS-изменений мало открыть сайт глазами. Нужно проверить цепочку: DNS, nginx, сертификат, Cloudflare mode, headers и логи origin. Тогда меньше сюрпризов от сервисов, которые смотрят на сайт иначе.