Cum să Remediați Eroarea Cloudflare 520: Ghid Complet de Diagnosticare și Rezolvare

Eroarea Cloudflare 520 este un cod de stare HTTP returnat atunci când rețeaua edge a Cloudflare primește un răspuns gol, neașteptat sau altfel neinterpretabil de la serverul dvs. de origine. Spre deosebire de 502 sau 504, care indică un timeout de gateway sau un gateway defect, un 520 este răspunsul universal al Cloudflare pentru răspunsurile care nu se încadrează în nicio specificație HTTP recunoscută — ceea ce înseamnă că serverul de origine a răspuns tehnic, dar ceea ce a trimis înapoi era invalid, trunchiat sau structural malformat.

Din punct de vedere practic, Eroarea 520 înseamnă că conexiunea TCP dintre Cloudflare și serverul dvs. de origine a fost stabilită, dar handshake-ul la nivelul HTTP a eșuat. Utilizatorul vede o pagină de eroare cu marca Cloudflare cu mesajul "Web server is returning an unknown error" — și site-ul dvs. este efectiv offline pentru ei.

Ce Declanșează Eroarea 520: Cauze Principale Explicate

Înțelegerea modului exact de eșec este esențială înainte de a atinge orice configurație. Eroarea 520 nu este o singură problemă — este o clasă de simptome. Următoarele cauze sunt cele mai frecvente, clasificate după frecvență în mediile de producție.

Serverul de origine returnează un corp de răspuns gol fără nicio linie de stare HTTP. Acesta este cel mai frecvent declanșator. Apache sau Nginx poate să se blocheze în mijlocul unui răspuns, lăsând Cloudflare cu un socket TCP deschis fără date care sosesc.

Firewall-ul sau software-ul de securitate blochează intervalele IP ale Cloudflare. Instrumente precum ModSecurity, Fail2Ban, CSF (ConfigServer Security & Firewall), sau plugin-uri la nivel de aplicație precum Wordfence pot abandona silențios pachetele de la IP-urile de ieșire ale Cloudflare, cauzând resetarea conexiunii fără un răspuns HTTP corespunzător.

Nepotrivire SSL/TLS handshake între Cloudflare și origine. Dacă Cloudflare este setat la modul "Full (Strict)" dar serverul dvs. de origine are un certificat expirat, auto-semnat sau configurat greșit, negocierea TLS eșuează înainte ca orice date HTTP să fie schimbate.

Anteturi de răspuns HTTP malformate sau supradimensionate. Cloudflare impune o limită strictă de 32 KB pentru anteturile de răspuns. Orice antet individual sau set combinat de anteturi care depășește această limită cauzează un 520. Acesta este un caz limită comun cu aplicații PHP scrise defectuos care descarcă date mari de sesiune sau ieșire de depanare în anteturi.

Blocarea procesului serverului de origine sau uciderea OOM (Out-of-Memory). Dacă procesul worker al serverului web (de ex., un worker Nginx sau un pool PHP-FPM) este ucis de Linux OOM killer în mijlocul unei cereri, conexiunea se întrerupe brusc.

Excepții la nivel de aplicație înainte ca anteturile să fie trimise. O eroare fatală PHP, o excepție Python necontrolată, sau un crash Node.js care apare înainte ca res.writeHead() să fie apelat rezultă într-un răspuns gol pe care Cloudflare nu îl poate analiza.

Resetarea conexiunii de către origine (TCP RST). Serverul de origine resetează activ conexiunea TCP, pe care Cloudflare o interpretează ca un răspuns necunoscut.

Eroarea 520 vs. Alte Erori Cloudflare 5xx

Distingerea erorii 520 de erorile similare Cloudflare previne efortul de diagnosticare irosit.

Dacă vedeți 521, procesul serverului dvs. web nu rulează. Dacă vedeți 524, aplicația dvs. rulează dar este prea lentă. Dacă vedeți 520, serverul rulează și răspunde — dar ceea ce trimite înapoi este defect.

Remediere Pas cu Pas pentru Eroarea 520

Pasul 1: Verificați Starea Serverului de Origine și Conectivitatea

Înainte de a atinge Cloudflare, confirmați că serverul de origine este activ și că daemonul serverului web rulează.

Verificați dacă procesul serverului web este activ:

# For Nginx
sudo systemctl status nginx

# For Apache
sudo systemctl status apache2

# For LiteSpeed
sudo systemctl status lsws

Testați conectivitatea directă la IP-ul de origine, ocolind proxy-ul Cloudflare. Recuperați IP-ul dvs. de origine din panoul de control DNS Cloudflare, apoi testați-l direct:

curl -I --resolve yourdomain.com:80:YOUR_ORIGIN_IP http://yourdomain.com/
curl -I --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com/

Dacă curl returnează un status HTTP valid (200, 301, etc.), serverul de origine este funcțional și problema se află în stratul de comunicare Cloudflare-la-origine. Dacă curl returnează un răspuns gol sau o resetare a conexiunii, problema este pe partea originii.

Verificați presiunea resurselor sistemului:

# Memory usage
free -h

# CPU load
uptime

# Check for OOM kills in the last boot
dmesg | grep -i "oom|killed process"

# Check for PHP-FPM pool exhaustion
sudo systemctl status php8.1-fpm

Pasul 2: Inspectați Jurnalele de Erori ale Serverului de Origine

Jurnalele serverului de origine sunt cea mai valoroasă sursă de diagnosticare. Nu omiteți acest pas.

Pentru Nginx:

sudo tail -n 100 /var/log/nginx/error.log
sudo tail -n 100 /var/log/nginx/access.log

Pentru Apache:

sudo tail -n 100 /var/log/apache2/error.log
sudo tail -n 100 /var/log/apache2/access.log

Căutați specific:

• Intrări de nivel [crit] sau [emerg]

upstream prematurely closed connection (Nginx + PHP-FPM)
Premature end of script headers (Apache + CGI/PHP)
worker_connections are not enough (limita worker Nginx atinsă)
Erori fatale PHP înregistrate în jurnalul de erori al serverului web

Corelați marcajele de timp din jurnal cu momentul în care au apărut erorile 520. Panoul de control Cloudflare sub Analytics > Traffic afișează marcajele de timp ale vârfurilor 520 pe care le puteți utiliza pentru corelare.
Pasul 3: Adăugați în Lista Albă Intervalele IP Cloudflare în Firewall-ul Dvs.
Dacă un firewall blochează IP-urile de ieșire ale Cloudflare, conexiunea va fi resetată silențios. Cloudflare publică intervalele sale IP curente la https://www.cloudflare.com/ips/.
Pentru UFW (Ubuntu/Debian):
# Download Cloudflare IPv4 ranges and whitelist them
for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
  sudo ufw allow from $ip to any port 80,443 proto tcp
done

# Repeat for IPv6
for ip in $(curl -s https://www.cloudflare.com/ips-v6); do
  sudo ufw allow from $ip to any port 80,443 proto tcp
done

sudo ufw reload
Pentru CSF (ConfigServer Firewall):
Adăugați intervalele IP ale Cloudflare în /etc/csf/csf.allow, apoi reporniți CSF:
sudo csf -r
Pentru ModSecurity: Dacă suspectați că ModSecurity este vinovatul, verificați jurnalul său de audit:
sudo tail -n 200 /var/log/modsec_audit.log
Căutați potriviri de reguli față de adresele IP Cloudflare. Puteți adăuga în lista albă IP-urile Cloudflare în configurația dvs. ModSecurity sau puteți seta directiva SecRemoteRules pentru a le exclude.
Notă critică: Nu dezactivați niciodată permanent firewall-ul sau ModSecurity. Adăugați în lista albă doar intervalele IP publicate ale Cloudflare și reactivați toate controalele de securitate imediat după testare.
Pasul 4: Auditați și Reparați Anteturile de Răspuns HTTP
Anteturile malformate sau supradimensionate sunt o cauză frecvent trecută cu vederea a erorilor 520. Utilizați curl cu ieșire verbosă pentru a inspecta exact ce trimite originea dvs.:
curl -v --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com/ 2>&1 | head -80
Urmăriți:

Anteturi cu caractere non-ASCII sau caractere de control
Anteturi Set-Cookie cu valori extrem de lungi (comune în configurările greșite ale sesiunilor PHP)
Anteturi Content-Type lipsă sau malformate
Anteturi Content-Length duplicate cu valori conflictuale

Dacă rulați o aplicație PHP, verificați php.ini pentru setările output_buffering. Un buffer de ieșire dezactivat combinat cu o eroare fatală în mijlocul unui răspuns poate cauza transmiterea parțială a antetului.
Specific pentru site-urile WordPress: Plugin-urile care injectează cantități mari de date în anteturile HTTP (unele plugin-uri de securitate sau caching fac acest lucru) pot împinge dimensiunea antetului peste limita de 32 KB a Cloudflare. Auditați plugin-urile active și testați în modul sigur.
Pasul 5: Validați Configurația SSL/TLS Cloudflare
O nepotrivire SSL între Cloudflare și origine este o sursă comună de eșecuri de clasa 520 care se deghizează ca o eroare necunoscută generică.
Navigați la Cloudflare Dashboard > SSL/TLS > Overview și verificați modul de criptare:



Mod SSL Cloudflare
Cerință Origine
Recomandat Pentru








—
—
—








Off
Fără SSL pe origine
Niciodată recomandat








Flexible
Nu este necesar SSL pe origine
Doar pentru configurări vechi; risc de securitate








Full
Orice certificat SSL pe origine (inclusiv auto-semnat)
Medii de dezvoltare








Full (Strict)
Certificat SSL valid și de încredere pe origine
Toate site-urile de producție





Dacă originea dvs. utilizează un certificat auto-semnat și Cloudflare este setat la Full (Strict), handshake-ul TLS va eșua. Fie instalați un certificat valid pe origine (un certificat gratuit Let’s Encrypt funcționează), fie comutați temporar la modul Full în timp ce reparați certificatul.
Dacă aveți nevoie de un certificat de încredere corespunzător pentru serverul dvs. de origine, Certificatele SSL de la o CA de încredere elimină complet problema certificatelor auto-semnate și sunt compatibile cu modul Full (Strict) al Cloudflare.
Pasul 6: Întrerupeți Proxy-ul Cloudflare pentru Diagnosticare Țintită
Eliminarea temporară a Cloudflare din calea cererii izolează dacă problema se află în configurația Cloudflare sau pe serverul de origine.
Metoda 1: Dezactivați proxy-ul pe un anumit înregistrare DNS
În panoul de control DNS Cloudflare, faceți clic pe pictograma nor portocaliu de lângă înregistrarea dvs. A sau CNAME pentru a o face gri. Aceasta ocolește proxy-ul Cloudflare menținând în același timp rezoluția DNS prin Cloudflare. Propagarea DNS durează până la 5 minute.
Metoda 2: Întrerupeți Cloudflare global pentru domeniu
Navigați la Cloudflare Dashboard > Overview > Advanced Actions > Pause Cloudflare on Site. Aceasta rutează tot traficul direct către originea dvs.
După întrerupere, testați site-ul dvs. Dacă se încarcă corect, problema se află în configurația Cloudflare. Dacă tot eșuează, problema este pe serverul de origine indiferent de Cloudflare.
Reactivați Cloudflare imediat după testare — un Cloudflare întrerupt înseamnă că site-ul dvs. pierde protecția DDoS, cache-ul CDN și acoperirea WAF.
Pasul 7: Verificați Acuratețea Înregistrărilor DNS
O înregistrare DNS A configurată greșit care indică spre un IP greșit sau învechit face ca Cloudflare să proxy traficul către serverul greșit, care va returna un răspuns neașteptat.
În panoul de control DNS Cloudflare:

Verificați că înregistrarea A pentru domeniul dvs. rădăcină (@) indică spre IP-ul curent al serverului dvs. de origine
Verificați că CNAME pentru www se rezolvă corect
Dacă ați migrat recent serverele, confirmați că vechiul IP nu mai este referențiat nicăieri

Confirmați spre ce IP trimite Cloudflare traficul de fapt:
dig +short yourdomain.com @1.1.1.1
Comparați aceasta cu IP-ul actual al serverului dvs. de origine. Dacă diferă, actualizați înregistrarea DNS în Cloudflare.
Pasul 8: Scalați Resursele Serverului de Origine
Dacă serverul dvs. de origine este în mod constant sub sarcină mare, erorile 520 vor apărea intermitent în timpul vârfurilor de trafic pe măsură ce procesele worker se epuizează și conexiunile sunt abandonate.
Diagnosticați epuizarea resurselor:
# Check Nginx worker connections
sudo nginx -T | grep worker_connections

# Check PHP-FPM pool limits
cat /etc/php/8.1/fpm/pool.d/www.conf | grep -E "pm.|max_children"

# Monitor real-time connections
ss -s
Opțiuni de reglare fără o actualizare hardware:

Creșteți worker_connections în /etc/nginx/nginx.conf

• Creșteți pm.max_children în configurația pool-ului PHP-FPM
• Activați directiva keepalive a Nginx pentru conexiunile upstream
• Implementați cache de obiecte (Redis sau Memcached) pentru a reduce presiunea bazei de date
• Activați regula de pagină Cache Everything a Cloudflare pentru a descărca livrarea activelor statice

Pentru aplicațiile care au depășit infrastructura partajată, migrarea la un mediu VPS Hosting vă oferă control complet asupra limitelor proceselor worker, alocării memoriei și reglării TCP la nivel de kernel — niciunul dintre acestea nefiind disponibil pe planurile partajate.

Dacă aplicația dvs. gestionează sarcini de lucru intensive din punct de vedere computațional (inferență ML, procesare video, operații cu seturi mari de date) care cauzează blocări intermitente ale workerilor, GPU Hosting descarcă acele sarcini de la procesele serverului dvs. web, eliminând o sursă comună de blocări în mijlocul răspunsului.

Pasul 9: Revizuiți Regulile de Firewall și Securitate Cloudflare

Propriile funcții de securitate ale Cloudflare pot ocazional interfera cu comunicarea legitimă a originii, în special dacă regulile personalizate de Firewall sau regulile WAF sunt configurate greșit.

Verificați Cloudflare Dashboard > Security > WAF > Custom Rules pentru orice reguli care ar putea intercepta cererile înainte ca acestea să ajungă la origine. Revizuiți de asemenea Security > Settings > Browser Integrity Check — în cazuri rare, aceasta poate cauza comportament neașteptat cu anumiți agenți utilizator sau cereri automate.

Revizuiți jurnalul Security > Events pentru a vedea dacă Cloudflare blochează sau contestă cereri care ar trebui să ajungă la originea dvs.

Pasul 10: Escaladați la Furnizorul dvs. de Hosting sau la Suportul Cloudflare

Dacă toți pașii de mai sus au fost epuizați fără rezolvare, escaladați cu informații precise.

Când contactați furnizorul dvs. de hosting, furnizați:

• Marcajele de timp exacte ale apariției erorilor 520 (din Cloudflare Analytics)
• Extrase relevante din jurnalul de erori al serverului dvs. web
• Ieșirea curl -v față de IP-ul dvs. de origine
• Metrici curente de utilizare a resurselor (CPU, RAM, număr de conexiuni)

Furnizorii care rulează infrastructură gestionată pe Servere Dedicate pot efectua diagnostice la nivel de kernel, capturi de pachete (tcpdump) și inspecție la nivel de socket care nu sunt disponibile în mediile partajate.

Când contactați Suportul Cloudflare, includeți:

• Ray ID-ul dvs. de pe pagina de eroare 520 (vizibil în HTML-ul erorii Cloudflare)
• Un fișier HAR capturat din Chrome DevTools în timpul erorii
• Modul dvs. curent SSL/TLS și orice Reguli de Firewall personalizate

Ray ID-ul este critic — permite inginerilor Cloudflare să extragă intrarea exactă din jurnalul nodului edge pentru cererea dvs. eșuată.

Diagnostic Avansat: Capturarea Eșecului Exact cu tcpdump

Pentru erorile 520 persistente sau intermitente care rezistă depanării standard, o captură de pachete pe serverul de origine dezvăluie exact ce se întâmplă la nivelul TCP/HTTP când Cloudflare se conectează.

# Capture traffic from Cloudflare IPs on port 443
sudo tcpdump -i eth0 -w /tmp/cloudflare_capture.pcap 'src net 103.21.244.0/22 or src net 103.22.200.0/22 or src net 103.31.4.0/22 or src net 104.16.0.0/13 or src net 104.24.0.0/14' and port 443

Deschideți fișierul .pcap rezultat în Wireshark și filtrați după tcp.flags.reset == 1 pentru a identifica pachetele TCP RST, care indică faptul că originea resetează activ conexiunile. Filtrați după http pentru a inspecta orice răspunsuri HTTP parțiale trimise.

Acest nivel de analiză identifică definitiv dacă eroarea 520 este cauzată de un RST de firewall, un crash al aplicației în mijlocul răspunsului sau un eșec TLS.

Prevenirea Erorii 520: Măsuri Proactive

Depanarea reactivă este costisitoare. Aceste măsuri reduc semnificativ probabilitatea de apariție a erorilor 520.

Implementați Verificări de Sănătate Cloudflare. Sub Traffic > Health Checks, configurați o verificare de sănătate față de originea dvs. Cloudflare vă va alerta înainte ca utilizatorii să înceapă să vadă erori 520.

Activați funcția Always Online a Cloudflare (sub Caching > Configuration). Deși nu rezolvă problema de bază, servește versiuni cache ale paginilor dvs. utilizatorilor în timpul întreruperilor originii, prevenind o întrerupere completă a serviciului.

Configurați monitorizarea serverului de origine cu instrumente precum UptimeRobot, Pingdom sau o soluție auto-găzduită precum Uptime Kuma. Monitorizați IP-ul originii direct (nu domeniul proxy-at prin Cloudflare) pentru a detecta eșecurile originii independent de Cloudflare.

Automatizați lista albă a IP-urilor Cloudflare. Intervalele IP ale Cloudflare se schimbă ocazional. Utilizați un cron job pentru a reîmprospăta lista albă a firewall-ului dvs.:

# /etc/cron.weekly/update-cloudflare-ips
#!/bin/bash
CF_IPS=$(curl -s https://www.cloudflare.com/ips-v4)
# Add logic to update UFW/CSF/iptables rules

Utilizați Authenticated Origin Pulls ale Cloudflare. Această funcție configurează originea dvs. să accepte doar conexiuni HTTPS care prezintă certificatul client al Cloudflare, blocând orice cereri directe-la-origine care ocolesc proxy-ul. Aceasta elimină de asemenea o clasă de erori 520 cauzate de traficul non-Cloudflare care lovește originea dvs. și declanșează răspunsuri ale software-ului de securitate.

Pentru echipele care gestionează mai multe domenii și aplicații web, un VPS cu cPanel oferă acces centralizat la jurnale, gestionarea firewall-ului și gestionarea certificatelor SSL pentru toate domeniile găzduite — reducând semnificativ timpul de diagnosticare pentru evenimentele 520.

Matrice de Decizie: Diagnosticarea Scenariului Dvs. Specific de 520

Listă de Verificare a Punctelor Cheie Tehnice

Înainte de a escalada la suport, confirmați că ați completat fiecare dintre următoarele:

• Verificat că procesul serverului web de origine rulează (systemctl status)
• Testat conectivitatea directă a originii cu curl -v --resolve ocolind Cloudflare
• Revizuit jurnalele de erori ale originii pentru marcajele de timp exacte ale evenimentelor 520
• Confirmat că intervalele IP Cloudflare sunt în lista albă în toate firewall-urile active (UFW, CSF, iptables, ModSecurity)
• Validat că anteturile de răspuns sunt sub 32 KB și nu conțin valori malformate
• Confirmat că modul SSL/TLS Cloudflare corespunde tipului de certificat al originii
• Verificat că înregistrările DNS A indică spre IP-ul corect și curent al originii
• Verificat memoria sistemului și CPU pentru ucideri OOM sau epuizarea resurselor
• Capturat Ray ID-ul de pe pagina de eroare 520 pentru escaladarea la suportul Cloudflare
• Revizuit jurnalul Cloudflare Security Events pentru interferența regulilor WAF

Întrebări Frecvente

Care este diferența dintre Eroarea Cloudflare 520 și Eroarea 521?

Eroarea 521 înseamnă că Cloudflare a ajuns cu succes la IP-ul serverului dvs. de origine, dar procesul serverului web a refuzat conexiunea TCP — de obicei pentru că Nginx sau Apache nu rulează. Eroarea 520 înseamnă că conexiunea TCP a fost stabilită, dar răspunsul HTTP era gol, trunchiat sau malformat. Dacă vedeți 521, porniți serverul dvs. web. Dacă vedeți 520, serverul rulează dar trimite răspunsuri defecte.

Poate Eroarea 520 să fie cauzată de Cloudflare însuși, nu de serverul de origine?

Rar, dar da. Problemele nodului edge Cloudflare pot cauza erori 520 care nu sunt reproductibile când accesați originea direct. Verificați cloudflarestatus.com pentru incidente active. Dacă originea răspunde corect prin curl direct și pagina de stare Cloudflare arată un incident activ, așteptați ca Cloudflare să îl rezolve în loc să faceți modificări la serverul dvs.

De ce apare Eroarea 520 doar intermitent și nu consistent?

Erorile 520 intermitente indică aproape întotdeauna epuizarea resurselor — pool-urile de workeri PHP-FPM rămânând fără copii disponibile, Nginx atingând limitele worker_connections, sau Linux OOM killer terminând procese sub presiunea memoriei. Aceste condiții apar în timpul vârfurilor de sarcină și se rezolvă când traficul scade, creând modelul intermitent. Erorile 520 consistente indică o problemă de configurare.

Întreruperea Cloudflare rezolvă Eroarea 520?

Întreruperea Cloudflare îl elimină din calea cererii, deci dacă site-ul dvs. funcționează după întrerupere, problema se află în configurația Cloudflare (mod SSL, reguli WAF, înregistrări DNS). Dacă site-ul dvs. tot eșuează după întrerupere, problema este pe serverul de origine. Întreruperea Cloudflare este un pas de diagnosticare, nu o remediere — elimină protecția DDoS și cache-ul CDN cât timp este activă.

Cum găsesc Ray ID-ul pentru a raporta o eroare 520 la Cloudflare?

Ray ID-ul este afișat în partea de jos a paginii de eroare Cloudflare 520 afișate utilizatorilor. Arată ca un șir hexazecimal de 16 caractere (de ex., 7a3f2b9c1d4e8f0a). Îl puteți găsi de asemenea în antetul de răspuns CF-Ray, vizibil în Chrome DevTools sub fila Network. Includeți întotdeauna acest ID când deschideți un tichet de suport Cloudflare — permite inginerilor Cloudflare să recupereze intrarea exactă din jurnalul edge pentru cererea dvs. eșuată.