你以为服务器没装防火墙就万事大吉?你以为回源测试正常就代表接入没问题?最近帮客户处理一个百度云防护接入的502问题,整整折腾了一天,最后发现罪魁祸首竟然是TLS版本不匹配。今天把这次踩坑经历分享出来,希望能帮各位同行少走弯路。
一、 问题现象:接入百度云防护后HTTPS 502
客户反馈:网站原本正常运行,接入百度云防护后,HTTPS访问一直报502 Bad Gateway,但HTTP访问正常。刚开始以为是CDN节点缓存或网络波动,等了几个小时依然如此。
二、 排查过程:能想到的都试了
第一步:回源测试
直接通过服务器IP+端口访问源站,HTTPS正常加载,说明源站本身没问题,证书配置也正确。
第二步:检查防火墙
怀疑是服务器防火墙拦截了百度云防护的回源IP,登录服务器查看,发现防火墙根本没开(iptables规则为空,firewalld未启动)。这条排除。
第三步:检查端口监听
确认443端口监听正常,nginx配置无误。
第四步:怀疑百度云防护节点问题
切换了其他节点测试,问题依旧。此时已经过去半天,陷入僵局。
三、 求助百度技术,一针见血
无奈之下联系百度智能云的技术支持,最后定位回复:“目前您源站那边默认只支持 TLSv1.3 的https回源,百度云防护回源目前暂不支持到TLSv1.3。”
我赶紧去服务器上一查——客户为了“极致安全”,在Nginx里配置了:
ssl_protocols TLSv1.3;只开启TLSv1.3!而百度云防护回源节点尚不支持TLSv1.3握手,导致回源失败,返回502。
四、 解决方案:降级TLS版本,重启生效
如果你用的是宝塔面板,操作很简单:
- 进入客户服务器-宝塔面板-网站-高级设置
- 在“TLS设置”中,勾选TLSv1.2及以下版本(至少保留TLSv1.2),例如保留:
TLSv1.1 TLSv1.2(如果业务需要,也可以保留TLSv1.3,但必须同时保留TLSv1.2)
- 点击【保存】。
注意: 修改后直接访问,可能还是502。因为Nginx需要重新加载配置,但宝塔的保存操作不一定触发SSL模块的热重载。
需要额外一步:
- 返回【SSL】管理页,先关闭SSL,再重新开启SSL。这会强制Nginx重新加载证书和配置。
此时再测试,HTTPS正常访问,502消失。
五、 为什么会出现这个问题?
- TLSv1.3特性:相比1.2,握手更快、更安全,但需要双方都支持。百度云防护回源节点为了兼容更多老版本源站,目前暂未启用TLSv1.3。
- “极致安全”的误区:很多站长喜欢把TLS版本设得越高越好,却忽略了上下游的兼容性。生产环境建议向下兼容,至少保留TLSv1.2。
六、 总结教训:技术无止境,多沟通少踩坑
这次折腾一天,最后只是改了一个配置项。反思几点:
- 排查思路要全面:除了服务器自身,还要考虑CDN与源站的协议握手。
- 不要忽视基础配置:TLS版本这种“小细节”,关键时刻能卡你一整天。
- 专业的事找专业的人:遇到难题及时联系服务商技术支持,比自己瞎猜高效得多。
主机吧虽然专注网络安全多年,但也经常遇到新问题。技术这条路,永远有学不完的东西。这次踩坑,下次就不会再犯了。希望这篇文章能帮你省下一天的时间!
如果你在接入百度云防护时也遇到类似问题,或者想了解更多安全配置技巧,欢迎联系主机吧。我们提供免费技术咨询和配置指导,让你的网站又快又稳。
主机吧 | 专注网络安全实战,助您筑牢服务器安全防线
提供百度云防护WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让每一次接入都顺畅,让每一分努力都值得。
