Cloudflare 525 SSL handshake failedのとき、最初の30分でやること

Cloudflare 525 SSL handshake failedが出たときに、最初の30分で「影響範囲の固定 → SSL/TLSモード確認 → オリジン証明書/到達性の切り分け」で止血するチェックリストです。

著者: 川原更新: 2026-05-17障害対応 RSS

Xで共有 Facebook LinkedIn

料金相談

Cloudflareで 525 SSL handshake failed が出たときは、まず「Cloudflare ↔ オリジン間のTLS（証明書/設定/到達性）」の問題として扱うのが最短です。

この記事は、525が出て「サイトが落ちた/一部だけ落ちた」状況になったとき、最初の30分で“止血”するチェックリストです。

0. まず結論（先にやる順番）

最初の30分は「直す」より「壊れている場所を確定する」を優先します。

525で確定（Cloudflare側のエラー番号・発生URL・発生率）
影響範囲を固定（全員/一部地域/一部URL/自分だけ）
SSL/TLSモードとオリジン証明書の整合（Full/Full(Strict)・有効期限・SAN・チェーン）
オリジン到達性の確認（443で応答するか、SNIで正しい証明書が出るか）
収束後に 再発防止（更新/監視/手順） を追加

1. 525で確定する（推理禁止）

まず「本当に525か」を確定します（似た症状でも原因が違います）。

ブラウザのエラー画面に 525 が出ているか
Cloudflareダッシュボードの Events / Analytics で、525が増えているか
もし可能なら curl -I <URL> を複数回実行し、再現率 を把握する

2. 影響範囲を固定する（最優先）

次を順に試して、影響範囲を固定します。

別端末（スマホ/PC）で同じURLを見る
別回線（モバイル回線）で見る
別リージョン（VPNなどが使えるなら）で見る
別URL（トップだけ/サブページだけ/特定パスだけ）で傾向を見る

「特定URLだけ525」なら、オリジンの 特定ルート/特定ホスト/特定証明書 の疑いが上がります。

3. CloudflareのSSL/TLSモードを確認する（最短で止血）

525は、CloudflareがオリジンとTLSハンドシェイクできないときに出ます。まずは設定の取り違えを疑います。

CloudflareのSSL/TLSモードが Full(Strict) のとき:
- オリジン証明書が 有効期限切れ / ホスト名不一致 / チェーン不備 だと落ちます
CloudflareのSSL/TLSモードが Full のとき:
- オリジン証明書が自己署名でも動く場合がありますが、結局はオリジン側TLSの不備が残ることがあります

判断の目安:

直前で「証明書更新/失効/自動更新失敗/ドメイン追加/サブドメイン追加」をしていたら、まずここです

4. オリジンが443で“正しい証明書”を返せるか確認する

オリジン側でありがちな原因は以下です。

443が開いていない（LB/Firewall/セキュリティグループ/プロキシ設定）
SNI の設定不備で、要求ホストと別の証明書が返っている
証明書が更新されたが、片系だけ古い（複数台/複数AZ/複数オリジン）
中間証明書（チェーン）が欠けている

確認のしかた（可能な範囲で）:

オリジン直叩きのヘルスチェックがあるなら、まずそれを見る
curl -Iv https://<hostname>/ でTLSハンドシェイクのエラー有無を見る（-k で誤魔化さず、まずは素で観測）

5. “今すぐ復旧”のための切り戻し候補

原因特定に時間がかかるときは、復旧優先の切り戻しを先に検討します（最初の30分の範囲）。

直前の証明書変更を戻す（以前の証明書に復帰できるなら）
直前のオリジン構成変更（LB/プロキシ/リバプロ）を戻す
Cloudflare設定の取り違え（対象ドメイン/Zone/ルーティング）を戻す

※ 恒久対応（証明書の自動更新や監視）は、止血後にやります。

6. 再発防止（30分の外）

復旧後に、次のどれかを最低1つ入れると再発率が下がります。

証明書更新の 失敗検知（期限切れ前に通知）
複数オリジン/複数台があるなら、更新の 反映漏れ検知（片系だけ古いを潰す）
525が出たときの 復旧手順（誰が見ても同じ順番で確認できる）

状況が再現しない/原因が複合している場合は、相談だけ先に進めるのも有効です。

この記事を書いた人

川原

SiteOps編集チームの公開窓口として、検索、アクセス、収益データをもとにした運営判断の知見をまとめています。

著者情報

Cloudflare 502 Bad Gatewayが出たとき、最初の30分でやること障害対応更新: 2026-05-18 Cloudflare 504 Gateway Timeoutが出たとき、最初の30分でやること障害対応更新: 2026-05-18 Cloudflare 520（Web server returned an unknown error）が出たとき、最初の30分でやること障害対応更新: 2026-05-18

次にやること

複数サイトの検索、アクセス、収益データをまとめて見直すなら、SiteOpsのダッシュボードでサイト別に確認できます。

料金を見る相談したい / お問い合わせ

記事一覧

Cloudflare 525 SSL handshake failedのとき、最初の30分でやること

著者: 川原更新: 2026-05-17障害対応 RSS

Xで共有 Facebook LinkedIn

料金相談

Cloudflareで 525 SSL handshake failed が出たときは、まず「Cloudflare ↔ オリジン間のTLS（証明書/設定/到達性）」の問題として扱うのが最短です。

この記事は、525が出て「サイトが落ちた/一部だけ落ちた」状況になったとき、最初の30分で“止血”するチェックリストです。

0. まず結論（先にやる順番）

最初の30分は「直す」より「壊れている場所を確定する」を優先します。

525で確定（Cloudflare側のエラー番号・発生URL・発生率）
影響範囲を固定（全員/一部地域/一部URL/自分だけ）
SSL/TLSモードとオリジン証明書の整合（Full/Full(Strict)・有効期限・SAN・チェーン）
オリジン到達性の確認（443で応答するか、SNIで正しい証明書が出るか）
収束後に 再発防止（更新/監視/手順） を追加

1. 525で確定する（推理禁止）

まず「本当に525か」を確定します（似た症状でも原因が違います）。

ブラウザのエラー画面に 525 が出ているか
Cloudflareダッシュボードの Events / Analytics で、525が増えているか
もし可能なら curl -I <URL> を複数回実行し、再現率 を把握する

2. 影響範囲を固定する（最優先）

次を順に試して、影響範囲を固定します。

別端末（スマホ/PC）で同じURLを見る
別回線（モバイル回線）で見る
別リージョン（VPNなどが使えるなら）で見る
別URL（トップだけ/サブページだけ/特定パスだけ）で傾向を見る

「特定URLだけ525」なら、オリジンの 特定ルート/特定ホスト/特定証明書 の疑いが上がります。

3. CloudflareのSSL/TLSモードを確認する（最短で止血）

525は、CloudflareがオリジンとTLSハンドシェイクできないときに出ます。まずは設定の取り違えを疑います。

CloudflareのSSL/TLSモードが Full(Strict) のとき:
- オリジン証明書が 有効期限切れ / ホスト名不一致 / チェーン不備 だと落ちます
CloudflareのSSL/TLSモードが Full のとき:
- オリジン証明書が自己署名でも動く場合がありますが、結局はオリジン側TLSの不備が残ることがあります

判断の目安:

直前で「証明書更新/失効/自動更新失敗/ドメイン追加/サブドメイン追加」をしていたら、まずここです

4. オリジンが443で“正しい証明書”を返せるか確認する

オリジン側でありがちな原因は以下です。

443が開いていない（LB/Firewall/セキュリティグループ/プロキシ設定）
SNI の設定不備で、要求ホストと別の証明書が返っている
証明書が更新されたが、片系だけ古い（複数台/複数AZ/複数オリジン）
中間証明書（チェーン）が欠けている

確認のしかた（可能な範囲で）:

オリジン直叩きのヘルスチェックがあるなら、まずそれを見る
curl -Iv https://<hostname>/ でTLSハンドシェイクのエラー有無を見る（-k で誤魔化さず、まずは素で観測）

5. “今すぐ復旧”のための切り戻し候補

原因特定に時間がかかるときは、復旧優先の切り戻しを先に検討します（最初の30分の範囲）。

直前の証明書変更を戻す（以前の証明書に復帰できるなら）
直前のオリジン構成変更（LB/プロキシ/リバプロ）を戻す
Cloudflare設定の取り違え（対象ドメイン/Zone/ルーティング）を戻す

※ 恒久対応（証明書の自動更新や監視）は、止血後にやります。

6. 再発防止（30分の外）

復旧後に、次のどれかを最低1つ入れると再発率が下がります。

証明書更新の 失敗検知（期限切れ前に通知）
複数オリジン/複数台があるなら、更新の 反映漏れ検知（片系だけ古いを潰す）
525が出たときの 復旧手順（誰が見ても同じ順番で確認できる）

状況が再現しない/原因が複合している場合は、相談だけ先に進めるのも有効です。

この記事を書いた人

川原

SiteOps編集チームの公開窓口として、検索、アクセス、収益データをもとにした運営判断の知見をまとめています。

著者情報

次にやること

複数サイトの検索、アクセス、収益データをまとめて見直すなら、SiteOpsのダッシュボードでサイト別に確認できます。

料金を見る相談したい / お問い合わせ

Cloudflare 525 SSL handshake failedのとき、最初の30分でやること

0. まず結論（先にやる順番）

1. 525で確定する（推理禁止）

2. 影響範囲を固定する（最優先）

3. CloudflareのSSL/TLSモードを確認する（最短で止血）

4. オリジンが443で“正しい証明書”を返せるか確認する

5. “今すぐ復旧”のための切り戻し候補

6. 再発防止（30分の外）

川原

関連記事

次にやること

Cloudflare 525 SSL handshake failedのとき、最初の30分でやること

0. まず結論（先にやる順番）

1. 525で確定する（推理禁止）

2. 影響範囲を固定する（最優先）

3. CloudflareのSSL/TLSモードを確認する（最短で止血）

4. オリジンが443で“正しい証明書”を返せるか確認する

5. “今すぐ復旧”のための切り戻し候補

6. 再発防止（30分の外）

川原

関連記事

次にやること