Cloudflare 525 在 Caddy 源站怎么排查？

先验证源站证书、443端口和SNI，再查看 Caddy 日志中的握手错误。定位首个失败点后逐项修复并复测。

中文问答

Cloudflare 525 怎么修复（Caddy）

出现 525 通常表示 Cloudflare 到源站的 TLS 握手失败。大多数情况下是证书、端口或 SNI 配置不一致。

快速排查顺序

Cloudflare SSL 模式用 Full (strict) 时，源站证书必须可被校验。
确认 443 端口对外开放，且源站确实在监听 HTTPS。
检查 Caddy 配置里的域名和证书是否对应当前站点。
先跑 SNI 和 curl 检查，再改配置，避免盲改。

建议直接执行的命令

sudo caddy validate --config /etc/caddy/Caddyfile
sudo systemctl status caddy --no-pager -n 20
sudo journalctl -u caddy --since '30 minutes ago' --no-pager | tail -n 80

curl -Iv --resolve yourdomain.com:443:ORIGIN_IP https://yourdomain.com/
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com -showcerts </dev/null | head -n 60
sudo ss -lntp | grep :443

常见误区

一次改太多设置会让定位变慢。建议一次只修一个失败点，立即复测。

如果页面显示的是 526，可继续看：Cloudflare 526 怎么修复（证书无效）。

按你的环境生成排查清单