Cloudflare Automatic SSL/TLS là gì và tại sao nó làm site bạn đột ngột lỗi SSL?

Cloudflare SSL/TLS hoạt động như thế nào?

Khi bạn dùng Cloudflare làm proxy (biểu tượng mũi tên cam), có hai kết nối SSL riêng biệt:

• Trình duyệt → Cloudflare: luôn được mã hóa, Cloudflare tự quản lý cert này
• Cloudflare → VPS của bạn: tùy thuộc vào chế độ SSL/TLS bạn chọn

Cloudflare cung cấp bốn chế độ SSL/TLS:

• Off: không mã hóa gì cả
• Flexible: chỉ mã hóa trình duyệt → Cloudflare, Cloudflare → VPS là HTTP thuần
• Full: mã hóa toàn bộ, nhưng không kiểm tra cert trên VPS có hợp lệ không
• Full (Strict): mã hóa toàn bộ và bắt buộc cert trên VPS phải hợp lệ, còn hạn

Trước khi có Automatic mode, nhiều người để chế độ Full và không cần quan tâm đến việc gia hạn cert trên VPS — Cloudflare không kiểm tra nên cert hết hạn cũng không sao.

Automatic SSL/TLS là gì?

Đây là tính năng mới Cloudflare triển khai gần đây. Thay vì để bạn tự chọn chế độ cố định, Cloudflare sẽ tự động quét server của bạn định kỳ và điều chỉnh chế độ SSL/TLS phù hợp nhất dựa trên kết quả scan.

Nếu Cloudflare phát hiện server đang có cert hợp lệ, nó sẽ tự nâng lên Full (Strict) để tăng bảo mật. Mục đích của tính năng này là tốt — nhưng nếu cert trên VPS của bạn đã hết hạn từ lâu mà bạn không biết, đây là lúc mọi thứ đổ vỡ.

Bạn có thể kiểm tra trạng thái trong Cloudflare Dashboard tại SSL/TLS → Overview:

SSL/TLS encryption
Current encryption mode: Full (strict)
The encryption mode was last changed a year ago.
Automatic mode enabled 3 days ago.
Next automatic scan on: 06/24.

Tại sao site đột ngột bị lỗi?

Chuỗi sự kiện thường xảy ra như sau:

1. Bạn đang dùng chế độ Full — cert VPS hết hạn cũng không ảnh hưởng, site vẫn chạy bình thường
2. Certbot không tự gia hạn được vì Cloudflare proxy chặn HTTP challenge của Let’s Encrypt — nhưng bạn không để ý vì site vẫn hoạt động
3. Cloudflare bật Automatic SSL/TLS, scan server và thấy cert đang hết hạn
4. Cloudflare tự nâng lên Full (Strict) — lúc này nó bắt đầu verify cert thật trên VPS
5. Cert hết hạn → Cloudflare từ chối kết nối → site lỗi SSL ngay lập tức

Điều khiến vấn đề này khó chẩn đoán là bạn không làm gì cả — site tự nhiên lỗi, trong khi nguyên nhân nằm ở một tính năng Cloudflare tự bật mà bạn không hay.

Cách khắc phục

Có hai hướng xử lý:

Hướng 1 — Tắt Automatic mode (không khuyến khích): Vào SSL/TLS → Overview → tắt Automatic SSL/TLS và chuyển thủ công về Full. Cách này chỉ giải quyết triệu chứng, cert vẫn hết hạn và bạn phải tự theo dõi.

Hướng 2 — Fix đúng gốc rễ (khuyến khích): Gia hạn cert trên VPS và cấu hình Certbot tự động gia hạn thông qua Cloudflare DNS API — để từ đây về sau cert luôn còn hạn và Automatic mode không còn là vấn đề nữa.

Hướng dẫn chi tiết cách thực hiện: Tự động gia hạn SSL với Certbot khi dùng Cloudflare (DNS Challenge).

Bài học rút ra

Automatic SSL/TLS của Cloudflare về bản chất là một tính năng tốt — nó thúc đẩy bạn duy trì cert hợp lệ trên server thay vì dựa vào việc Cloudflare “bỏ qua” cert hết hạn. Nhưng nếu bạn chưa chuẩn bị, nó có thể làm site sập mà không có cảnh báo trước.

Giải pháp lâu dài là đảm bảo cert trên VPS luôn được gia hạn tự động và đúng hạn — khi đó dù Cloudflare ở chế độ nào, site của bạn vẫn hoạt động bình thường.