Background
wao.io benutzt TLS um die Kommunikation zu den Ursprungsservern zu sichern. TLS bietet Datenverschlüsselung, Nachrichtenintegrität und Authentizität zwischen den kommunizierenden Parteien.
TLS verlangt, dass ein Server-Zertifikat gegen eine Liste von Zertifizierungsstellen (Certificate Authorities, CA) geprüft wird, die als vertrauenswürdig gelten. Das Zertifikat muss für den Servernamen ausgestellt sein, der für die https:// Anforderung verwendet wird, und es wird nur vor seinem Ablaufdatum als gültig angesehen. wao.io führt diese Prüfungen standardmäßig durch.
Es gibt mehrere Fehler, die während des Aufbaus und der Verwendung einer TLS-Verbindung auftreten können. Der wao.io -Fehlerbereich von 2300 bis 2399 ist für diese Art von Problemen reserviert.
Habe ich einen TLS error?
Wenn TLS-Fehler zwischen wao.io und dem Ursprung auftreten, funktioniert die Site nicht mehr. In der Regel ist jede Anfrage, die HTTPS verwendet, betroffen. (Die Site kann jedoch weiterhin mit dem http:// Protokoll funktionieren).
In diesem Fall wird dem Benutzer eine Fehlerseite angezeigt, da kein Inhalt von den Ursprungsservern geladen werden konnte.
Jede Fehlerseite wird mit einem speziellen HTTP-Antwort-Header-Feld wao.io -Error gesendet, das einen Fehlercode und eine informative, aber nicht verräterische Fehlermeldung enthält.
Beheben des Fehlers
Um die normale Funktion einer betroffenen Stelle wiederherzustellen, sind folgende Schritte erforderlich.
2300 - "TLSError"
Dieser Fehler ist der Fallback für alle TLS-Fehler, die nicht durch einen spezifischeren Fehlercode abgedeckt sind.
Aktionen:
- Prüfen Sie, ob Sie eine HTTPS-Verbindung zum Ursprung direkt unter Umgehung von wao.io herstellen können. Die Herkunftsinformationen finden Sie in den Einstellungen Ihrer Website.
Da der Ursprung unter der IP-Adresse 1.2.3.4 zu finden ist und der Name der Site example.com lautet, können Sie mit curl die Konnektivität überprüfen:
curl -v --resolve example.com:443:1.2.3.4 https://example.com/
Die Ausgabe des Programms kann Ihnen Hinweise darauf geben, was falsch ist.
- Kontaktieren Sie das wao.io-Team für Hilfe und weitere Analysen.
2301 - "TLSHandshakeTimeout"
wao.io konnte keine TLS-Verbindung zum Ursprung aufbauen, bis das Verbindungs-Timeout von 15 Sekunden erreicht war.
Aktionen:
Prüfen Sie, ob der Ursprung vorhanden ist und funktioniert. Ein Handshake-Timeout kann neben anderen Timeout-Fehlern auftreten, wenn der Ursprung nicht ansprechbar ist. Beheben Sie in diesem Fall zuerst alle ConnectionTimeout-Fehler.
Überprüfen Sie die Leistung des Ursprungs. Steht der Server unter hoher Last?
Möglicherweise hat der Load Balancer oder Webserver, der TLS am Ursprung beendet, nicht genügend Entropie. Auf Linux-Systemen können auf diese Weise die restlichen Bits des Entropie-Pools ausgelesen werden:
cat /proc/sys/kernel/random/entropy_avail
Der zurückgegebene Wert sollte nicht zu niedrig sein. Ein voller Entropie-Pool hat eine Standardlänge von 4096 Bit.
2302 - "TLSCertExpired"
SSL-Zertifikate werden nur für einen bestimmten Zeitraum ausgestellt. Nach Ablauf des Ablaufdatums schlägt jeder TLS-Handshake fehl.
Aktionen:
Abhilfe: Prüfen Sie, ob das Ausschalten des TLS-Checks in wao.io die Website wieder online bringt:
Website-Einstellungen → Optimierungen → Erweitert → Ignorieren von Backend-TLS-Zertifikatsfehlern
Beziehen und installieren Sie ein neues Zertifikat auf dem Ursprungsserver.
Machen Sie die Problemumgehung aus Schritt 1 rückgängig.
2303 - "TLSCertNameMismatch"
Das im Ursprung installierte Zertifikat wird nicht für den Domainnamen ausgestellt, den wao.io zur Beantragung des Ursprungs verwendet.
Aktionen:
- Prüfen Sie, ob eine Änderung des Host-Headers den Fehler behebt
Website-Einstellungen → Website → Domain → Herkunft
Dieses Feld wird für die SPV verwendet. Wenn Ihre Herkunft mehr als einen Domain-Namen oder Host-Header akzeptiert, wählen Sie einen, der in Ihrem Zertifikat aufgeführt ist.

Workaround: Überprüfen Sie, ob das Ausschalten des TLS-Checks in wao.io die Website wieder online bringt:
Website-Einstellungen → Optimierungen → Erweitert → Ignoriere Backend-TLS-Zertifikatsfehler
Beziehen und installieren Sie ein neues Zertifikat auf dem Ursprungsserver.
- Machen Sie die Problemumgehung aus Schritt 2 rückgängig.
2304 - "TLSCertNotTrusted"
Das im Ursprung installierte Zertifikat ist nicht von einer Zertifizierungsstelle (CA) ausgestellt worden, der wao.io vertraut. wao.io verwendet das CA-Bündel, das von der Linux-Distribution Debian bereitgestellt wird.
Aktionen:
Workaround: Überprüfen Sie, ob das Ausschalten des TLS-Checks in wao.io die Website wieder online bringt:
Site Einstellungen → Optimierungen → Erweitert → Ignorieren von Backend-TLS-Zertifikatsfehlern
Beziehen und installieren Sie ein neues Zertifikat auf dem Ursprungsserver.
- Machen Sie die Problemumgehung aus Schritt 1 rückgängig.
2305 - "TLSHandshakeError"
Beim Aufbau der TLS-Verbindung ist ein Fehler aufgetreten. Das kann daran liegen, dass der Ursprung nur veraltete Verschlüsselungsmethoden oder Chiffren anbietet, die als unsicher eingestuft und von wao.io nicht akzeptiert werden. Es ist auch möglich, dass der Ursprung zu viele Chiffren anbietet und damit eine maximale Länge überschreitet.
Aktionen:
Versuchen Sie, direkt eine TLS-Verbindung zu Ihrem Ursprung herzustellen, z.B. mit curl (vgl. 2300) oder dem Kommandozeilentool openssl. Wenn dies funktioniert, wenden Sie sich an den wao.io-Support zur weiteren Fehlersuche.
- Apassen Sie die TLS-Parameter Ihres Servers an. Wir empfehlen, TLS v1.2 oder neuer zu verwenden. Die Mozilla Server-Side-TLS Seite ist eine großartige Ressource für TLS-Einstellungen.
Workaround: Wenn Ihre Website keine sichere Kommunikation erfordert (keine Logins, keine privaten Daten, keine Session-Cookies, kein Einkaufen...), können Sie auf HTTP-Verkehr umschalten, um Ihre Website wieder online zu bringen.
Website-Einstellungen → Website → Domain
- Deaktivieren Sie das entsprechende HTTPS Ihrer Herkunftsdomain,
- Deaktivieren des Umleitens von HTTP-URLs auf HTTPS,
in Site → Optimierungen → Sicherheit:
HTTP-URLs auf HTTPS umschreiben deaktivieren

Wenn Sie zuvor HTTP-Weiterleitungen aktiviert hatten, können Kunden immer noch versuchen, auf Ihre Website https:// zu gehen, da "permanente" Weiterleitungen (Statuscode 301) möglicherweise für immer im Cache gespeichert werden. Wenn Sie einen Strict-Transport-Security-Header gesendet haben, sollte diese Abhilfe nicht Ihre Wahl sein. Kunden werden trotzdem versuchen, die HTTPS-Site zu benutzen.