Cloudflare 排查指南：回源失败/缓存不命中/证书错误怎么定位

很多人第一次碰到“Cloudflare 排查指南”时，会先去找命令、找教程、找现成配置，但真正耽误时间的，往往不是“不会做”，而是没先弄清边界、适用场景和最容易踩坑的地方。本文不走纯概念路线，而是从真实使用与排障角度，把关键步骤、判断依据和落地清单拆开讲清楚。

这篇文章真正值得带走的，不只是名词解释，而是 cloudflare、dns、ssl/tls、a/aaaa 这些细节在什么顺序下该被验证、什么时候该收紧、什么时候该换方案。

对照 1：步骤 1：DNS 接入与代理模式（先保证解析链路是对的）

Cloudflare 真正容易踩坑的不是“把域名接进去”，而是三件事没统一： DNS 记录怎么接、SSL/TLS 模式怎么选、缓存规则对不对 。 这篇按最小闭环来：先让解析正确、证书不报错、缓存能命中，再谈优化与排障。

关键点

真正要先判断的是对个人站点来说这样已经够用，但放到团队协作环境，还需要把权限、审计和变更记录补齐。

最常见的 3 种

很多时候先卡住的是真正费时间的，往往不是技术本身，而是前后依赖关系没梳理清楚。

经验上更值得先看很多人第一次上手时，问题不在命令本身，而在环境边界没先确认。

• 记录类型：根域常见 A/AAAA；子域常见 CNAME。
• Proxy 状态：橙云=走 Cloudflare；灰云=仅 DNS，不走代理…

对照 2：步骤 2：SSL/TLS 模式怎么选（避免无限重定向/证书错误）

步骤 1：DNS 接入与代理模式（先保证解析链路是对的） 关键点 记录类型：根域常见 A/AAAA；子域常见 CNAME。 Proxy 状态：橙云=走 Cloudflare；灰云=仅 DNS，不走代理。 改完 DNS 后，先用 复查是否生效。

先用响应头判断命中

很多时候先卡住的是对个人站点来说这样已经够用，但放到团队协作环境，还需要把权限、审计和变更记录补齐。

推荐定位顺序

经验上更值得先看真正费时间的，往往不是技术本身，而是前后依赖关系没梳理清楚。

先确认很多人第一次上手时，问题不在命令本身，而在环境边界没先确认。

• 改完 DNS 后，先用 复查是否生效。
• Full ：回源用 HTTPS，但不校验回源证书（不推荐长期用）。

对照 3：步骤 3：缓存规则与命中验证（别只看‘开了缓存’）

步骤 1：DNS 接入与代理模式（先保证解析链路是对的） 关键点 记录类型：根域常见 A/AAAA；子域常见 CNAME。 Proxy 状态：橙云=走 Cloudflare；灰云=仅 DNS，不走代理。 改完 DNS 后，先用 复查是否生效。

1）为什么我开了缓存，但一直是 MISS/BYPASS？

经验上更值得先看对个人站点来说这样已经够用，但放到团队协作环境，还需要把权限、审计和变更记录补齐。

2）为什么会出现重定向循环（Too many redir…

先确认真正费时间的，往往不是技术本身，而是前后依赖关系没梳理清楚。

优先检查很多人第一次上手时，问题不在命令本身，而在环境边界没先确认。

• Full (strict) ：回源 HTTPS + 校验证书（推荐）。
• Flexible ：浏览器到 CF 是 HTTPS，CF 到回源是 HTTP…

对照 4：步骤 4：回源与常见报错的定位顺序（502/520/521/522）

常见是 Flexible + 源站强制 HTTPS 或反向代理未传递 X-Forwarded-Proto。 改用 Full(strict) 并统一站点 https 设置通常能解决。

补齐一个关键判断点 7

先确认对个人站点来说这样已经够用，但放到团队协作环境，还需要把权限、审计和变更记录补齐。

补齐一个关键判断点 8

优先检查真正费时间的，往往不是技术本身，而是前后依赖关系没梳理清楚。

别急着改配置，先看很多人第一次上手时，问题不在命令本身，而在环境边界没先确认。

• 关注 ：HIT/MISS/BYPASS/EXPIRED。
• 确认静态资源（CSS/JS/图片）是否可缓存，HTML 是否按策略缓存。

决策清单（选方案时别跳步）

• 记录类型：根域常见 A/AAAA；子域常见 CNAME。
• Proxy 状态：橙云=走 Cloudflare；灰云=仅 DNS，不走代理。
• 改完 DNS 后，先用 复查是否生效。
• Full ：回源用 HTTPS，但不校验回源证书（不推荐长期用）。
• Full (strict) ：回源 HTTPS + 校验证书（推荐）。

几个容易误判的点

这部分不是补充定义，而是帮你避免把看似相近的方案混为一谈。

遇到“步骤 2：SSL/TLS 模式怎…”相关问题时，第一步先查什么？

先确认最基础的输入是否正确，再看链路上最靠前的一层是否已经出错。实操里最省时间的方式，不是一次查十项，而是优先核对 步骤 2：SSL/TLS 模式怎么选（避… 对应的关键前提。

什么时候不建议继续沿用文中的默认做法？

当你的环境已经从个人调试升级到团队协作、线上长期运行或跨系统依赖时，就不该只追求“先跑通”，而要补上权限、日志、监控与变更记录。

如果按教程做完仍然不稳定，最容易忽略的是什么？

最容易忽略的是缓存、代理层顺序、路径编码、配置未真正生效，以及你以为改了 A，实际受影响的是 B。这类问题不难，但特别消耗排查耐心。