遇到 Cloudflare 优选 IP 后 TLS 握手变慢，通常是因为选到的 IP 不支持 TLS 1.3 或 SNI 配置不匹配，建议优先检查协议版本并清理本地缓存。

命令速用版

通过以下命令快速检测当前 IP 的 TLS 握手情况：

openssl s_client -connect 优选 IP:443 -servername 你的域名 -tls1_3

如果连接成功且显示 Protocol 为 TLSv1.3，说明协议支持正常。若超时或降级为 TLSv1.2，需更换 IP。

curl -v -k https://你的域名 `--resolve` "你的域名:443:优选 IP"

观察输出中的 SSL 握手阶段耗时，确认是否有重传或延迟。注意 `--resolve` 参数格式，不要添加多余符号。

为什么会这样

TLS 握手需要多次网络往返（RTT），如果优选 IP 虽然 Ping 值低但实际路由拥堵，或者不支持 TLS 1.3，握手时间就会显著增加。TLS 1.3 将握手流程从两次往返压缩到一次往返，能明显减少建立连接的时间。此外，部分优选 IP 可能禁用了 ALPN 扩展或 SNI 域名未正确传递，导致服务端响应变慢甚至连接失败。

分步处理

1. 检查 TLS 协议版本
登录 Cloudflare 控制台，进入 SSL/TLS -> 边缘证书 (Edge Certificates)，确认最低 TLS 版本 (Minimum TLS Version) 设置合理。确保边缘节点允许最新协议。本地客户端也需确认未强制锁定旧版本。

2. 验证 IP 的 SNI 支持
使用 openssl 命令时务必加上 -servername 参数，模拟真实请求。有些 IP 对默认 SNI 响应快，但指定域名后延迟高。

3. 清理本地缓存
修改 hosts 或切换 IP 后，系统 DNS 缓存和 SSL 会话缓存可能仍指向旧地址。重启浏览器或清除系统 DNS 缓存可避免复用旧会话。

4. 检查 Cloudflare 边缘设置
确认未在 Cloudflare 后台开启强制 HTTPS 重定向循环或错误的页面规则，这些可能导致额外跳转增加耗时。注意：SSL/TLS 加密模式（Full/Full Strict）主要影响回源，若源站证书无效设置为 Full Strict 会导致 526 错误，不建议仅为了握手速度调整此项。

怎么验证是否生效

使用 curl 命令添加时间统计参数，首先创建格式文件 curl-format.txt，内容如下：

time_namelookup:  %{time_namelookup}
time_connect:  %{time_connect}
time_appconnect:  %{time_appconnect}
time_pretransfer:  %{time_pretransfer}
time_starttransfer:  %{time_starttransfer}
----------
time_total:  %{time_total}

然后执行命令：

curl -w "@curl-format.txt" -o /dev/null -s https://你的域名

关注 time_appconnect 字段，该值代表 SSL 握手完成的时间。对比更换 IP 前后的数值，若显著降低则优化生效。浏览器开发者工具的网络面板也能看到 SSL 握手的具体耗时。

常见坑

1. IP 被封禁或限速
部分优选 IP 可能被 Cloudflare 风控标记，导致握手阶段被故意延迟或拦截。若发现握手耗时忽高忽低，尝试更换段。

2. 客户端指纹识别
自动化工具或非标准客户端的 TLS 指纹（JA3）可能触发 Cloudflare 安全检查，增加握手验证步骤。尽量使用标准浏览器内核或更新客户端库。

3. 本地 Hosts 优先级
确保 hosts 文件配置正确，避免 DNS 解析优先级冲突导致请求绕路。

参考来源

• Cloudflare IP 优选插件如何自动筛选并切换最优 IP?
• TLS 1.3 实战指南：从握手优化到性能调优的全流程解析
• Cloudflare 总是跳验证/失败请求？提升访问成功率的完整实操指南
• 国外 VPS 加速_Cloudflare 优选节点配置教程