Cloudflare 526 Invalid SSL certificateのとき、最初の30分でやること

Cloudflare 526 Invalid SSL certificateが出たときに、最初の30分で「影響範囲の固定 → SSL/TLSモード確認 → オリジン証明書の無効理由（期限/ホスト名/チェーン/SNI）特定 → 止血」を進める手順です。

著者: 川原更新: 2026-05-18障害対応 RSS

Xで共有 Facebook LinkedIn

料金相談

Cloudflareで 526 Invalid SSL certificate が出たときは、まず「Cloudflare ↔ オリジン間のTLSで、Strict判定に通らない証明書が出ている」として扱うのが最短です。

この記事は、526が出て「サイトが落ちた/一部だけ落ちた」状況になったとき、最初の30分で“止血”するチェックリストです。

0. まず結論（先にやる順番）

最初の30分は「直す」より「どの証明書が無効判定されているか確定する」を優先します。

526で確定（Cloudflare側のエラー番号・発生URL・発生率）
影響範囲を固定（全員/一部地域/一部URL/自分だけ）
SSL/TLSモード確認（Full(Strict)かどうか）
オリジンが返す証明書の“無効理由”を特定（期限/ホスト名/チェーン/SNI/片系）
収束後に 再発防止（自動更新/監視/切り戻し手順） を追加

1. 526で確定する（推理禁止）

まず「本当に526か」を確定します（似た症状でも原因が違います）。

ブラウザのエラー画面に 526 が出ているか
Cloudflareダッシュボードの Events / Analytics で、526が増えているか
もし可能なら curl -I <URL> を複数回実行し、再現率 を把握する

ポイント:

526は「オリジン証明書が無効」寄りです（525はハンドシェイク自体が失敗、524は応答遅延）

2. 影響範囲を固定する（最優先）

次を順に試して、影響範囲を固定します。

別端末（スマホ/PC）で同じURLを見る
別回線（モバイル回線）で見る
別リージョン（VPNなどが使えるなら）で見る
別URL（トップだけ/サブページだけ/特定パスだけ）で傾向を見る

「特定URLだけ526」なら、オリジン側の 特定ホスト/特定証明書/SNI の疑いが上がります。

3. SSL/TLSモードを確認する（最短で当てる）

526は多くの場合、CloudflareのSSL/TLSモードが Full(Strict) のときに、オリジン証明書がStrict判定に通らないと発生します。

まず確認:

CloudflareのSSL/TLSモードが Full(Strict) になっているか
直前に「証明書更新/失効/自動更新失敗/ドメイン追加/サブドメイン追加/オリジン差し替え」がないか

4. オリジン証明書が“何で無効”なのかを特定する（最短ルート）

526の典型パターンはこのあたりです。

4-1. 期限切れ（最頻出）

オリジン証明書の 有効期限切れ（更新漏れ/自動更新失敗）
複数台/複数オリジンがある場合、片系だけ期限切れ があり得ます

4-2. ホスト名不一致（SAN/CNミス）

example.com と www.example.com の取り違え
ワイルドカードの範囲違い（*.example.com でカバーできないホストが混ざっている）

4-3. チェーン不備（中間証明書が欠けている）

オリジンが 中間証明書を返していない ため、検証が通らない

4-4. SNI/既定証明書の取り違え

同一IPで複数ドメインをホストしていると、SNIの設定不備で「別ドメインの証明書」が返ることがあります。

Cloudflareからオリジンへ到達するとき、要求ホストに対して 正しい証明書 が返っているか

5. “今すぐ復旧”の切り戻し候補（最初の30分の範囲）

原因特定に時間がかかるときは、復旧優先の切り戻しを先に検討します（恒久対応は後）。

直前の証明書変更を戻す（以前の証明書に復帰できるなら）
直前のオリジン構成変更（LB/プロキシ/リバプロ）を戻す
Full(Strict) → Full の切り替え（暫定で復旧することがあります）
- ただし「Strictで検証できない状態」を隠すだけなので、復旧後に必ず恒久対応へ戻します

6. 再発防止（30分の外）

復旧後に、次のどれかを最低1つ入れると再発率が下がります。

証明書更新の 失敗検知（期限切れ前に通知）
複数オリジン/複数台があるなら、更新の 反映漏れ検知（片系だけ古いを潰す）
526が出たときの 切り戻し手順（誰が見ても同じ順番で確認できる）

状況が再現しない/原因が複合している場合は、相談だけ先に進めるのも有効です。

この記事を書いた人

川原

SiteOps編集チームの公開窓口として、検索、アクセス、収益データをもとにした運営判断の知見をまとめています。

著者情報

Cloudflare 502 Bad Gatewayが出たとき、最初の30分でやること障害対応更新: 2026-05-18 Cloudflare 504 Gateway Timeoutが出たとき、最初の30分でやること障害対応更新: 2026-05-18 Cloudflare 520（Web server returned an unknown error）が出たとき、最初の30分でやること障害対応更新: 2026-05-18

次にやること

複数サイトの検索、アクセス、収益データをまとめて見直すなら、SiteOpsのダッシュボードでサイト別に確認できます。

料金を見る相談したい / お問い合わせ

記事一覧

Cloudflare 526 Invalid SSL certificateのとき、最初の30分でやること

著者: 川原更新: 2026-05-18障害対応 RSS

Xで共有 Facebook LinkedIn

料金相談

この記事は、526が出て「サイトが落ちた/一部だけ落ちた」状況になったとき、最初の30分で“止血”するチェックリストです。

0. まず結論（先にやる順番）

最初の30分は「直す」より「どの証明書が無効判定されているか確定する」を優先します。

526で確定（Cloudflare側のエラー番号・発生URL・発生率）
影響範囲を固定（全員/一部地域/一部URL/自分だけ）
SSL/TLSモード確認（Full(Strict)かどうか）
オリジンが返す証明書の“無効理由”を特定（期限/ホスト名/チェーン/SNI/片系）
収束後に 再発防止（自動更新/監視/切り戻し手順） を追加

1. 526で確定する（推理禁止）

まず「本当に526か」を確定します（似た症状でも原因が違います）。

ブラウザのエラー画面に 526 が出ているか
Cloudflareダッシュボードの Events / Analytics で、526が増えているか
もし可能なら curl -I <URL> を複数回実行し、再現率 を把握する

ポイント:

526は「オリジン証明書が無効」寄りです（525はハンドシェイク自体が失敗、524は応答遅延）

2. 影響範囲を固定する（最優先）

次を順に試して、影響範囲を固定します。

別端末（スマホ/PC）で同じURLを見る
別回線（モバイル回線）で見る
別リージョン（VPNなどが使えるなら）で見る
別URL（トップだけ/サブページだけ/特定パスだけ）で傾向を見る

「特定URLだけ526」なら、オリジン側の 特定ホスト/特定証明書/SNI の疑いが上がります。

3. SSL/TLSモードを確認する（最短で当てる）

526は多くの場合、CloudflareのSSL/TLSモードが Full(Strict) のときに、オリジン証明書がStrict判定に通らないと発生します。

まず確認:

CloudflareのSSL/TLSモードが Full(Strict) になっているか
直前に「証明書更新/失効/自動更新失敗/ドメイン追加/サブドメイン追加/オリジン差し替え」がないか

4. オリジン証明書が“何で無効”なのかを特定する（最短ルート）

526の典型パターンはこのあたりです。

4-1. 期限切れ（最頻出）

オリジン証明書の 有効期限切れ（更新漏れ/自動更新失敗）
複数台/複数オリジンがある場合、片系だけ期限切れ があり得ます

4-2. ホスト名不一致（SAN/CNミス）

example.com と www.example.com の取り違え
ワイルドカードの範囲違い（*.example.com でカバーできないホストが混ざっている）

4-3. チェーン不備（中間証明書が欠けている）

オリジンが 中間証明書を返していない ため、検証が通らない

4-4. SNI/既定証明書の取り違え

同一IPで複数ドメインをホストしていると、SNIの設定不備で「別ドメインの証明書」が返ることがあります。

Cloudflareからオリジンへ到達するとき、要求ホストに対して 正しい証明書 が返っているか

5. “今すぐ復旧”の切り戻し候補（最初の30分の範囲）

原因特定に時間がかかるときは、復旧優先の切り戻しを先に検討します（恒久対応は後）。

直前の証明書変更を戻す（以前の証明書に復帰できるなら）
直前のオリジン構成変更（LB/プロキシ/リバプロ）を戻す
Full(Strict) → Full の切り替え（暫定で復旧することがあります）
- ただし「Strictで検証できない状態」を隠すだけなので、復旧後に必ず恒久対応へ戻します

6. 再発防止（30分の外）

復旧後に、次のどれかを最低1つ入れると再発率が下がります。

証明書更新の 失敗検知（期限切れ前に通知）
複数オリジン/複数台があるなら、更新の 反映漏れ検知（片系だけ古いを潰す）
526が出たときの 切り戻し手順（誰が見ても同じ順番で確認できる）

状況が再現しない/原因が複合している場合は、相談だけ先に進めるのも有効です。

この記事を書いた人

川原

SiteOps編集チームの公開窓口として、検索、アクセス、収益データをもとにした運営判断の知見をまとめています。

著者情報

次にやること

複数サイトの検索、アクセス、収益データをまとめて見直すなら、SiteOpsのダッシュボードでサイト別に確認できます。

料金を見る相談したい / お問い合わせ

Cloudflare 526 Invalid SSL certificateのとき、最初の30分でやること

0. まず結論（先にやる順番）

1. 526で確定する（推理禁止）

2. 影響範囲を固定する（最優先）

3. SSL/TLSモードを確認する（最短で当てる）

4. オリジン証明書が“何で無効”なのかを特定する（最短ルート）

4-1. 期限切れ（最頻出）

4-2. ホスト名不一致（SAN/CNミス）

4-3. チェーン不備（中間証明書が欠けている）

4-4. SNI/既定証明書の取り違え

5. “今すぐ復旧”の切り戻し候補（最初の30分の範囲）

6. 再発防止（30分の外）

川原

関連記事

次にやること

Cloudflare 526 Invalid SSL certificateのとき、最初の30分でやること

0. まず結論（先にやる順番）

1. 526で確定する（推理禁止）

2. 影響範囲を固定する（最優先）

3. SSL/TLSモードを確認する（最短で当てる）

4. オリジン証明書が“何で無効”なのかを特定する（最短ルート）

4-1. 期限切れ（最頻出）

4-2. ホスト名不一致（SAN/CNミス）

4-3. チェーン不備（中間証明書が欠けている）

4-4. SNI/既定証明書の取り違え

5. “今すぐ復旧”の切り戻し候補（最初の30分の範囲）

6. 再発防止（30分の外）

川原

関連記事

次にやること