当您使用Cloudflare时，有两个部分需要加密：
1.从用户的浏览器到Cloudflare
1.从Cloudflare到您的服务器
这意味着您需要两个证书来进行完全加密。
Cloudflare会自动为您提供第一个。这是一个用户看到，如果他们检查URL挂锁。
有多种方法可以处理Cloudflare >服务器加密。所有这些都是免费的。
1.选择Cloudflare的“灵活”SSL/TLS加密模式。这不会加密从Cloudflare到您的服务器的请求，但浏览器将显示绿色挂锁，并表示该网站是安全的。如果你问我的话，我觉得有点讨厌。
1.使用Lets Encrypt在服务器https://certbot.eff.org/lets-encrypt/ubuntufocal-apache上安装证书。您现在可以将Cloudflare的SSL/TLS加密模式设置为“完全（严格）”。我决定不使用这个解决方案，因为基本的解决方案不适用于负载均衡器。
1.在您的服务器上安装Cloudflare的原始证书。你可以将它的有效期设置为15年，这很好（至少到2035年，当你忘记了这一点，你的网站崩溃）。以下是Ubuntu的说明：Set up Ubuntu Apache2 SSL using .pem and .key from Cloudflare
1.你也可以创建和安装自己的源代码证书，这显然很容易，但我还没有尝试过。

2023年8月更新：我选择了选项3，多年后它仍然有效。我刚刚注意到URL挂锁说证书是Lets Encrypt，它的有效期只有三个月。我猜这就是Cloudflare用于浏览器> Cloudflare部分的内容，他们负责更新它。我从来都不用。我想它曾经说过这是一个Cloudflare证书。

链条的强度取决于它最薄弱的环节。
如果你保护了一个通道而没有保护另一个通道，你就减少了攻击面，但设置仍然很脆弱。您的网站流量仍然以纯文本形式流动，无论是在浏览器和Cloudflare服务器之间，还是在Cloudflare服务器和源服务器之间。
这只是一个时间问题，努力和运气之前，有人故意或无意地窃取，劫持，冒充，嗅探，滴或人在中间。
此外，你有所有的工具来做一个完全安全的设置，他们都是免费的。

• Cloudflare颁发的或LetsEncrypt证书，用于保护与您的网站/API的通信。
• Cloudflare颁发的或LetsEncrypt证书，用于保护与原始服务器的通信。

这是HTTP与HTTPS的good overview，它列出了HTTP容易受到的一些攻击。

在这两种情况下使用HTTPS都可以提高您的不可知分数，从而可以在没有此功能的CDN提供商之间切换而无需担心。这是一个关于你自己决定的问题，如果有意义，只使用Cloudflare通过https构建基础设施，以防万一它是一个个人项目，或者没有极端的安全合规性。关于安全性，在两层都使用https是符合国际安全标准的，如果您有安全需求，并且HTTPS服务器和HTTP服务器之间的通道不受保护，请避免仅在一层使用。

Cloudflare实际上有一个Let's Encrypt CA。我在Cloudflare上托管了另一个域，使用Cloudflare的Let's encrypt SSL。加上自动更新。为了保护您的源服务器，您可以使用Cloudflare的Origin SSL或使用自签名SSL，因为没有人可以看到它，它提供相同的安全性，并且有效期为15年以上。

你可以做的是转到SSL/TLS <边缘证书<向下滚动，直到你到达底部<点击禁用通用SSL。
瞧，您可以使用Cloudflare的快速CDN和DNS管理，并免费将Let's Encrypt与之集成。