如果你的网站用了 Cloudflare 作为 CDN 或防火墙,很可能会出现 Error 521: Web Server Is Down 的报错。其实,这种错误多数并不是服务器“挂了”,而是浏览器与服务器之间在 SSL 握手阶段出了问题。
SSL 配置为何会引发 521 报错?
网站启用 Cloudflare 后,实际建立的是:
浏览器 ←→ Cloudflare ←→ 你的源站服务器
这中间有两段 SSL 通道:一段是 Cloudflare 与用户浏览器之间,另一段是 Cloudflare 与源站之间。如果Cloudflare 与源站之间配置不当,Cloudflare 就可能无法访问你的源站,于是返回 521。
以下是几种常见的 SSL 配置错误情形:
1. 服务器未启用 HTTPS,但 Cloudflare 设为“完整加密”模式
Cloudflare 后台中有一个 SSL/TLS 设置,通常分为以下几种:
Off(关闭)
Flexible(灵活)
Full(完整)
Full (Strict)(严格完整)
当你服务器没有启用 SSL(即源站不支持 https://),但你在 Cloudflare 里选择了 Full 或 Full Strict 模式,Cloudflare 就会尝试用 HTTPS 访问你服务器,但连接会失败,从而导致 521。
正确做法:
如果服务器不支持 HTTPS,仅使用 Flexible(不推荐)
推荐方式是让源站正确配置 SSL 证书,再切换为 Full (Strict)
2. 证书无效、过期或未绑定域名
即使服务器安装了 SSL 证书,如果证书是自签名、已过期,或绑定的域名不匹配 Cloudflare 的解析记录,也会导致连接被拒。
检查方法:
使用 https://yourdomain.com 打开源站,看是否正常加载
使用 SSL Labs 工具测试服务器证书状态
登录服务器控制面板(如宝塔),检查当前绑定的证书是否仍有效
3. 防火墙或安全插件阻止了 Cloudflare 的 IP 访问
某些服务器开启了防火墙、安全组件,或者安装了安全插件(如 Wordfence),如果是未允许 Cloudflare 的 IP 段,就可能把来自 Cloudflare 的请求误当作攻击拦截掉,也会导致 521。
排查方式:
查看服务器防火墙日志,是否有 IP 被拒绝记录
对照 Cloudflare 官方 IP 列表,将其加入白名单(支持 IPv4 和 IPv6)
4. SSL 模式切换频繁,缓存未刷新
有些人切换 Cloudflare SSL 模式后,没有清理缓存,或浏览器、CDN 缓存保留了旧的中间证书或握手信息,也可能造成临时连接失败。
建议操作:
清除 Cloudflare 页面缓存(Purge Cache)
清理服务器端缓存(如 WP Rocket、LiteSpeed 等插件)
强制刷新浏览器缓存,或换设备重新测试
修复建议:标准流程
确认服务器已正确安装有效的 SSL 证书
Cloudflare SSL 模式设为 Full (Strict)
源站开启 443 端口,并监听 HTTPS 请求
检查服务器防火墙或安全插件设置是否放行 Cloudflare IP
修改完成后清除所有相关缓存并重新测试
最后
如果你的网站用了 Cloudflare,又经常遇到“服务器无法连接”这类问题,不妨优先检查 SSL 设置,往往一处改动就能解决看似“离奇”的问题。稳定的 SSL 配置不仅有助于访问安全,也能减少前端访问异常。