525 SSL Handshake Failed (Cloudflare) 해결

Problem

Cloudflare가 Error 525: SSL handshake failed를 반환합니다. 방문자는 Cloudflare까지 도달했지만, Cloudflare가 오리진 서버와 TLS 핸드셰이크를 완료하지 못한 것입니다.

Symptoms

• Cloudflare 브랜드 오류 페이지에 Error 525가 표시됩니다.
• 사이트가 Cloudflare SSL/TLS 모드 Full 또는 **Full (Strict)**를 사용합니다(525는 Flexible 모드에서는 발생하지 않습니다).
• 오류가 지속적이거나, 부하 상황에서 간헐적일 수 있습니다.

Top 3 Causes

1. 오리진의 443 포트에 유효한 인증서가 없음 - Full·Full (Strict) 모드에서 Cloudflare는 오리진에 HTTPS로 접속합니다. 오리진이 인증서를 제공하지 않거나, 443 포트가 닫혀 있거나 TLS를 수신하지 않으면 핸드셰이크가 시작될 수 없습니다.
2. TLS 버전 또는 cipher 불일치 - 오리진이 Cloudflare가 협상하지 않는 프로토콜·cipher만 제공하거나(예: TLS 1.0/1.1만), Cloudflare가 보내지 않는 클라이언트 인증서를 요구하는 경우. 핸드셰이크가 시작됐다가 실패합니다.
3. 방화벽이 Cloudflare를 차단하거나 오리진이 과부하 - 오리진 방화벽이 443에서 Cloudflare IP 대역을 차단하거나, 오리진이 너무 과부하라 핸드셰이크를 완료하지 못하는 경우 — 간헐적 525로 나타납니다.

Diagnose with DechoNet

• SSL Check를 오리진 호스트명 또는 IP에 실행해, 443 포트에서 TLS로 유효한 인증서를 제공하는지 확인합니다.
• Port Check로 오리진의 443 포트가 열려 있고 도달 가능한지 확인합니다.

Resolution Checklist

• Cloudflare를 우회해 오리진을 직접 테스트합니다: openssl s_client -connect ORIGIN_IP:443 -servername yourdomain.com. 정상이면 인증서 체인이 출력되고, 실패하면 원인이 바로 오리진을 가리킵니다.
• 오리진에 인증서가 없다면 설치합니다. Cloudflare의 무료 Origin CA 인증서는 Full (Strict)에서 신뢰되며 가장 간단한 해결책입니다.
• 오리진이 TLS 1.2 또는 1.3과 최신 cipher suite를 제공하는지 확인합니다. TLS 1.0/1.1에 묶인 오리진은 거부됩니다.
• 오리진 방화벽에서 Cloudflare 공개 IP 대역을 443으로 허용합니다.
• 오리진이 상호 TLS를 요구한다면 Authenticated Origin Pulls를 설정해 Cloudflare가 기대되는 클라이언트 인증서를 제시하도록 합니다.
• SSL Check를 오리진에 다시 실행해 핸드셰이크가 성공하는지 확인한 뒤 사이트를 새로고침합니다.

When to Escalate

• 오리진이 제시하는 cipher suite나 인증서를 직접 제어할 수 없다면(Azure App Service, 관리형 로드 밸런서 등) 플랫폼 제공업체에 문의하세요.
• 트래픽 상황의 간헐적 525는 보통 인증서가 아니라 오리진 과부하, keepalive 한도, 핸드셰이크 타임아웃을 가리킵니다 — 오리진 용량을 점검하세요.