Я получаю прерывистый (примерно 0,01% запросов) 525 (сбой SSL-подтверждения) между Cloudflare и нашим AWS EC2 Windows 2016 IIS, с Let's Encrypt CA установлен с использованием win-acme под управлением администратора. Мы ReactJs спереди и .NET Framework 4.7.2 сзади.
Что-то мне не хватает? Если я получу решение, я опубликую здесь, чтобы помочь другим.
Мы используем ESET File Security 7 на наших серверах, и он создавал временный черный список IP-адресов, в который иногда попадали IP-адреса Cloudflare. Я добавил IP-адреса Cloudflare в исключение IDS.
Инженер поддержки Cloudflare (Andronicus - спасибо!) обнаружил, что проблема периодически возникает внутри Cloudflare, и предложил поискать что-нибудь, что могло бы осуществлять динамическую блокировку IP-адресов - особенно Cloudflare. Поскольку весь наш трафик проходит через Cloudflare, это может выглядеть как атака, и злоумышленники, атакующие конечную точку домена, также будут иметь IP Cloudflare.
Я взял это на вооружение и стал читать дальше. Мы работаем на AWS EC2, поэтому они используют технологию AWS Shield, которая включена по умолчанию и работает с флудом, а не с нашими низкими уровнями.
Затем я провел полную инвентаризацию сервера. Я подробно проверил все приложения и брандмауэр Windows. У меня большой опыт работы с брандмауэром Windows Firewall, поэтому я мог убедиться, что нет ничего неправильно настроенного.
ESET File Security для Windows Server - довольно хороший антивирус - особенно для обнаружения вторжений ботнетов. У него также есть функция под названием Защита от сетевых атак (IDS) для сканирования подозрительного сетевого трафика. Частью этой функции является "временный черный список IP-адресов". От ESET:
Просмотр списка IP-адресов, которые были обнаружены как источник атак и добавлены в черный список для блокировки соединений на определенный период времени. Показывает IP-адреса, которые были заблокированы.
IP-адреса добавляются в черный список на короткий период времени. Наблюдая за черным списком (он не ведет журналы), я заметил, что в нем появляются некоторые знакомые IP-адреса Cloudflare.
Я добавил IP-адреса Cloudflare в список исключений IDS (он разрешает диапазоны адресов) и поднял тикет в ESET, чтобы спросить, как мне поддерживать этот список в актуальном состоянии, поскольку от Cloudflare нельзя ожидать, что полный список IP-адресов будет статичным.
Если это вам не поможет, ознакомьтесь с моим полным сообщением на Cloudflare Community.