在 边缘安全加速 ESA上完成站点接入后,如果浏览器返回 525 错误并提示 "Origin SSL Handshake Error",表示 ESA 节点与源站进行 SSL/TLS 握手时失败。本文给出 525 错误的常见原因与排查步骤。
525 错误 — SSL 握手失败
典型现象:页面返回 HTTP ERROR 525,提示 "Origin SSL Handshake Error"。
根因:ESA 节点与源站进行 SSL / TLS 握手时失败。
检查源站 SSL 证书
通过 openssl 命令测试源站证书是否有效:
openssl s_client -connect 源站IP:443 -servername your-domain.com确认以下三点:
源站证书未过期。
源站证书不是自签名证书(自签证书在公网环境下 ESA 无法信任)。
证书域名与回源域名匹配。
检查 TLS 版本和加密套件兼容性
进入 SSL/TLS > 边缘证书。
检查 TLS 最低版本设置(如 TLS 1.1),尝试关闭 TLS 1.1,仅保留 TLS 1.2 及以上。
说明关闭 TLS 1.1 前请确认业务无老旧客户端(如 Android 4.x、Windows XP IE 等)依赖该版本,否则会导致这部分用户无法访问。
确认源站的加密套件与 ESA 兼容。
配置回源 SNI
如果源站上部署了多个 HTTPS 站点(使用 SNI 区分),需要配置回源 SNI:
进入 规则 > 回源规则,单击新增规则。
在规则中配置回源 SNI 为加速域名(如
www.example.com)。
改用 HTTP 回源
如果源站 HTTPS 证书问题短期无法解决,可临时切换为 HTTP 回源:
在回源规则中设置回源协议为 HTTP,回源端口为 80。
用户端 HTTPS 访问不受影响(ESA 边缘证书仍生效),ESA 到源站之间使用 HTTP。
完成后,执行 curl -Iv https://your-domain.com 验证 SSL 握手成功(返回头中 proxy-status 不再包含 connection_timeout 或 SSL 错误)。