Alle Vergleiche Vergleiche

Let's Encrypt vs Cloudflare SSL: Was sollten Sie verwenden?

Let’s Encrypt und Cloudflare bieten beide kostenloses SSL, funktionieren aber grundlegend unterschiedlich. Let’s Encrypt gibt Ihnen ein Zertifikat, das Sie besitzen und kontrollieren. Cloudflare verwaltet SSL als Teil ihres CDN-Proxys — Ihre Besucher verbinden sich mit Cloudflare, nicht direkt mit Ihrem Server.

Schnellvergleich

Let’s EncryptCloudflare SSL
Was Sie erhaltenZertifikatsdateien zur Installation uberallSSL verwaltet durch Cloudflares Proxy
ZertifikatsbesitzSie besitzen esCloudflare besitzt es
Speicherort des privaten SchlusselsIhr Server (oder Browser mit GetHTTPS)Cloudflares Edge-Server
Funktioniert ohne Cloudflare
Besucherverbindung endet beiIhrem ServerCloudflares Edge
Cloudflare kann Verkehr lesenNein⚠️ Ja (beabsichtigt)
Zertifikatsgultigkeit90 Tage (Sie verwalten)Automatisch verwaltet
Wildcard✅ (DNS-01)
Nicht-Web-Dienste (E-Mail, APIs)❌ (nur HTTP/HTTPS-Proxy)
Origin-zu-Edge-VerschlusselungN/A (direkt)Muss “Full (Strict)” konfiguriert werden
EinrichtungskomplexitatMittel (ACME-Client erforderlich)Niedrig (DNS-Anderung)
AnbieterabhangigkeitKeineVerlassen = SSL verlieren

Wie sie sich unterscheiden

Let’s Encrypt: Sie besitzen das Zertifikat

Besucher ←──HTTPS──→ Ihr Server
                    (Ihr Zertifikat, Ihr privater Schlussel)

Ihr Server beendet die TLS-Verbindung. Sie kontrollieren den privaten Schlussel, das Zertifikat und die gesamte Kette. Das Zertifikat funktioniert uberall — Nginx, Apache, Node.js, E-Mail-Server, Load Balancer, IoT-Gerate.

Cloudflare: Proxy-Modell

Besucher ←──HTTPS──→ Cloudflare Edge ←──???──→ Ihr Server
                    (Cloudflares Zertifikat)    (kann HTTP sein)

Cloudflare sitzt zwischen Besuchern und Ihrem Server. Die verschlusselten Verbindungen der Besucher enden an Cloudflares Edge. Cloudflare stellt dann eine separate Verbindung zu Ihrem Origin-Server her — die je nach Ihren Einstellungen verschlusselt sein kann oder nicht.

“Full (Strict)“-Modus — Cloudflare verifiziert, dass Ihr Origin ein gultiges Zertifikat hat (empfohlen) “Full”-Modus — Cloudflare verbindet sich mit HTTPS zu Ihrem Origin, verifiziert aber das Zertifikat nicht “Flexible”-Modus — ⚠️ Cloudflare verbindet sich uber unverschlusseltes HTTP mit Ihrem Origin

Im “Flexible”-Modus ist die Verbindung zwischen Cloudflare und Ihrem Server unverschlusselt — jeder auf diesem Netzwerkpfad kann den Verkehr lesen.

Wann Let’s Encrypt verwenden

  • Sie wollen Ende-zu-Ende-Verschlusselung, die Sie kontrollieren
  • Nicht-Web-Dienste — E-Mail-Server (SMTP/IMAP), APIs nicht hinter einem CDN, Datenbankverbindungen
  • Datenschutzsensibel — Sie wollen nicht, dass ein Dritter Ihren Verkehr im Klartext sieht
  • Multi-CDN oder kein CDN — Zertifikat funktioniert unabhangig vom CDN-Anbieter
  • Keine Anbieterabhangigkeit — Hosting, CDN oder Architektur wechseln ohne SSL zu verlieren

Wann Cloudflare verwenden

  • Sie verwenden bereits Cloudflare fur CDN, DDoS-Schutz oder DNS
  • Sie wollen null Zertifikatsverwaltung — Cloudflare erledigt alles
  • Sie sind auf Shared Hosting, das keine Zertifikate installieren kann
  • DDoS-Schutz hat Prioritat — Cloudflares Proxy absorbiert Angriffe

Das Beste aus beiden Welten

Viele Produktions-Setups nutzen beides:

  1. Cloudflare als CDN/Proxy (Besucher verbinden sich mit Cloudflare)
  2. Let’s Encrypt auf dem Origin-Server (Cloudflare verbindet sich mit Ihrem Server mit einem echten Zertifikat)
  3. Cloudflare auf “Full (Strict)“-Modus setzen

Dies gibt Ihnen die CDN-Vorteile von Cloudflare plus verifizierte Ende-zu-Ende-Verschlusselung. Verwenden Sie GetHTTPS, um das Origin-Zertifikat zu erhalten.

Migrationsszenarien

Von Cloudflare zu direktem HTTPS wechseln

Wenn Sie aufhoren mochten, Cloudflares Proxy zu verwenden:

  1. Holen Sie ein Let’s Encrypt-Zertifikat fur Ihre Domain
  2. Installieren Sie es auf Ihrem Server (Nginx, Apache)
  3. Andern Sie in Cloudflare DNS Ihre A/AAAA-Eintrage von “Proxied” (orangene Wolke) zu “DNS only” (graue Wolke)
  4. Der Verkehr geht jetzt direkt zu Ihrem Server mit Ihrem eigenen Zertifikat

Von direktem HTTPS zu Cloudflare wechseln

Wenn Sie Cloudflare zu einer bestehenden HTTPS-Website hinzufugen:

  1. Fugen Sie Ihre Domain zu Cloudflare hinzu
  2. Aktualisieren Sie Ihre Nameserver
  3. Cloudflare stellt automatisch Universal SSL bereit
  4. Setzen Sie den SSL-Modus auf “Full (Strict)” (Sie haben bereits ein gultiges Origin-Zertifikat)

Behalten Sie Ihr bestehendes Let’s Encrypt-Zertifikat — es dient als Origin-Zertifikat fur den Full (Strict)-Modus.

Haufig gestellte Fragen

Bietet Cloudflare ein “echtes” SSL-Zertifikat?

Cloudflare stellt ein echtes, browservertrauenswurdiges Zertifikat fur Ihre Domain aus — aber es befindet sich auf Cloudflares Infrastruktur, nicht auf Ihrer. Sie konnen es nicht herunterladen oder anderswo verwenden. Wenn Sie Cloudflare nicht mehr nutzen, ist das Zertifikat weg. Fur ein portables Zertifikat, das Sie besitzen, verwenden Sie Let’s Encrypt.

Ist Cloudflare SSL kostenlos?

Ja, im kostenlosen Plan. Cloudflare nennt es “Universal SSL” und es deckt Ihre Domain und Subdomains automatisch ab. Allerdings zahlen Sie nicht fur das Zertifikat — Sie akzeptieren das Proxy-Modell und dass Cloudflare den gesamten Verkehr sieht.

Kann ich beide gleichzeitig verwenden?

Ja — und das sollten Sie, wenn Sie Cloudflare verwenden. Installieren Sie ein Let’s Encrypt-Zertifikat auf Ihrem Origin-Server und setzen Sie Cloudflare auf den “Full (Strict)“-Modus. Dies stellt sicher, dass die Verbindung vom Origin zum Edge ebenfalls verschlusselt und verifiziert ist. Vollstandige Einrichtungsanleitung →

Liest Cloudflare meinen Verkehr?

Beabsichtigt, ja. Cloudflare beendet TLS an ihrem Edge — der Verkehr wird dort entschlusselt fur Caching, WAF-Inspektion und DDoS-Filterung, dann erneut zum Origin verschlusselt. So funktioniert jeder Reverse Proxy. Wenn dies fur Ihren Anwendungsfall inakzeptabel ist (rechtliche, Compliance- oder Datenschutzanforderungen), verwenden Sie direktes HTTPS mit Let’s Encrypt.

Was ist mit Cloudflares “Origin Certificates”?

Cloudflare bietet Origin CA-Zertifikate — kostenlose Zertifikate, die nur von Cloudflare als vertrauenswurdig eingestuft werden (nicht direkt von Browsern). Sie sind bis zu 15 Jahre gultig und eliminieren den Erneuerungsaufwand fur die Origin-Verbindung. Aber sie funktionieren nur, solange Sie bei Cloudflare bleiben.

Verwandte Artikel

Vergleiche 2026-05-08
Die besten kostenlosen SSL-Zertifikatsanbieter 2026 (im Vergleich)
Vergleichen Sie 9 kostenlose SSL-Zertifikatsanbieter hinsichtlich Datenschutz, Limits, Wildcard-Unterstutzung und Automatisierung. Enthalt eigenstandige CAs, Hosting-Anbieter und CDNs -- mit einer Datenschutzanalyse, die kein anderer Vergleich bietet.
Vergleiche 2026-05-08
Let's Encrypt vs Kostenpflichtiges SSL: Mussen Sie bezahlen?
Kostenlose Let's Encrypt-Zertifikate verwenden dieselbe Verschlusselung wie kostenpflichtige Zertifikate fur $500. Vergleich von Verschlusselung, Validierungsstufen, Garantie, Support und Kosten -- mit Daten, nicht Marketing.
Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten