Wenn Sie Cloudflare als CDN/Proxy verwenden, verbinden sich Ihre Besucher mit den Edge-Servern von Cloudflare. Aber was ist mit der Verbindung zwischen Cloudflare und Ihrem Origin-Server? Ohne ein Zertifikat auf Ihrem Origin ist diese Verbindung möglicherweise unverschlüsselt — was den Zweck von HTTPS zunichtemacht.
Cloudflare-SSL-Modi erklärt
| Modus | Besucher → Cloudflare | Cloudflare → Origin | Sicherheit |
|---|---|---|---|
| Aus | HTTP | HTTP | ❌ Keine Verschlüsselung |
| Flexible | HTTPS ✅ | HTTP ❌ | ⚠️ Trügerische Sicherheit |
| Full | HTTPS ✅ | HTTPS (ungeprüft) | ⚠️ Verschlüsselt, aber keine Zertifikatsvalidierung |
| Full (Strict) | HTTPS ✅ | HTTPS (geprüft) ✅ | ✅ Empfohlen |
“Flexible” ist gefährlich. Ihre Besucher sehen ein Schloss, aber die Verbindung von Cloudflare zum Origin ist unverschlüsseltes HTTP. Jeder auf diesem Netzwerkpfad kann den Verkehr mitlesen. Verwenden Sie immer Full (Strict).
Full (Strict) mit einem Let’s Encrypt-Zertifikat einrichten
Der beste Ansatz: Installieren Sie ein echtes, öffentlich vertrauenswürdiges Zertifikat auf Ihrem Origin und aktivieren Sie Full (Strict).
Schritt 1: Let’s Encrypt-Zertifikat erhalten
Verwenden Sie GetHTTPS, um ein kostenloses Zertifikat für Ihre Domain zu erhalten. Sie müssen den Cloudflare-Proxy vorübergehend deaktivieren (graue Wolke in den DNS-Einstellungen), damit die HTTP-01-Challenge Ihren Origin erreicht, oder verwenden Sie DNS-01, das unabhängig davon funktioniert.
DNS-01-Methode (keine Proxy-Änderung nötig):
- Wählen Sie in GetHTTPS die DNS-01-Challenge
- Fügen Sie den
_acme-challengeTXT-Eintrag im Cloudflare-DNS hinzu - Verifizieren und laden Sie das Zertifikat herunter
HTTP-01-Methode:
- Klicken Sie im Cloudflare-DNS auf die orangene Wolke → graue Wolke (nur DNS) für Ihre Domain
- Schließen Sie die HTTP-01-Challenge in GetHTTPS ab
- Aktivieren Sie nach Erhalt des Zertifikats die orangene Wolke wieder (proxied)
Schritt 2: Auf Ihrem Origin-Server installieren
Installieren Sie das Zertifikat ganz normal auf Nginx oder Apache.
Schritt 3: Full (Strict) in Cloudflare aktivieren
- Gehen Sie zum Cloudflare-Dashboard → Ihre Domain
- SSL/TLS → Übersicht
- Wählen Sie Full (Strict)
Cloudflare überprüft nun, ob Ihr Origin ein gültiges, vertrauenswürdiges Zertifikat hat, bevor eine Verbindung hergestellt wird.
Alternative: Cloudflare Origin CA-Zertifikat
Cloudflare bietet eigene Origin CA-Zertifikate an — kostenlose Zertifikate, die nur von Cloudflare als vertrauenswürdig eingestuft werden, nicht direkt von Browsern.
So erhalten Sie eines
- Cloudflare-Dashboard → SSL/TLS → Origin Server
- Klicken Sie auf Zertifikat erstellen
- Wählen Sie Schlüsseltyp (RSA oder ECDSA) und Gültigkeit (bis zu 15 Jahre)
- Laden Sie Zertifikat und privaten Schlüssel herunter
- Installieren Sie es auf Ihrem Origin-Server
Vor- und Nachteile im Vergleich zu Let’s Encrypt
| Cloudflare Origin CA | Let’s Encrypt (via GetHTTPS) | |
|---|---|---|
| Vertrauenswürdig für | Nur Cloudflare | Alle Browser (öffentlich vertrauenswürdig) |
| Gültigkeit | Bis zu 15 Jahre | 90 Tage |
| Automatische Erneuerung nötig | Nein (lange Gültigkeit) | Ja (alle 60-90 Tage) |
| Funktioniert ohne Cloudflare | ❌ | ✅ |
| Direkter Browser-Zugriff | ❌ (zeigt Fehler) | ✅ |
| Kosten | Kostenlos | Kostenlos |
Verwenden Sie Cloudflare Origin CA, wenn Ihr Origin immer hinter Cloudflare steht und Sie kein Erneuerungsmanagement wünschen.
Verwenden Sie Let’s Encrypt, wenn Sie Cloudflare möglicherweise umgehen (Wartung, Migration), direkten Zugriff auf Ihren Origin benötigen oder ein Zertifikat wünschen, das überall funktioniert.
Überprüfen, ob Full (Strict) funktioniert
Nach der Einrichtung testen Sie, dass die Verbindung vollständig verschlüsselt ist:
- Cloudflare-Dashboard → SSL/TLS → Übersicht sollte “Full (Strict)” anzeigen
- Besuchen Sie Ihre Website → das Schloss sollte den Besuchern das Cloudflare-Zertifikat anzeigen
- Origin direkt prüfen (Cloudflare umgehen):
Dies sollte eine gültige HTTPS-Antwort mit Ihrem Let’s Encrypt- (oder Origin CA-)Zertifikat zurückgeben.curl -I --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com
Häufig gestellte Fragen
Warum nicht einfach den Flexible-Modus verwenden?
Der Flexible-Modus verschlüsselt die Verbindung Besucher→Cloudflare, sendet aber den Verkehr von Cloudflare zu Ihrem Origin als unverschlüsseltes HTTP. Das bedeutet:
- Ihr ISP, Hosting-Anbieter oder jeder andere im Netzwerk zwischen dem Cloudflare-Edge und Ihrem Server kann den gesamten Verkehr mitlesen
- Ihre Besucher sehen ein Schloss und denken, sie seien sicher, aber die Backend-Verbindung ist es nicht
- Dies ist besonders gefährlich für Anmeldeseiten, Zahlungsformulare oder andere sensible Daten
Muss mein Origin-Zertifikat exakt mit meiner Domain übereinstimmen?
Für den Full (Strict)-Modus ja — das Origin-Zertifikat muss für die Domain gültig sein, mit der sich Cloudflare verbindet. Ein Let’s Encrypt-Zertifikat für example.com funktioniert. Ein selbstsigniertes Zertifikat oder ein Zertifikat für eine andere Domain funktioniert nicht.
Kann ich ein Wildcard-Origin-Zertifikat verwenden?
Ja. Ein Wildcard-Zertifikat für *.example.com auf Ihrem Origin funktioniert mit Full (Strict) für jede über Cloudflare proxied Subdomain.
Was passiert, wenn mein Origin-Zertifikat abläuft?
Der Full (Strict)-Modus von Cloudflare prüft die Zertifikatsgültigkeit. Wenn Ihr Origin-Zertifikat abläuft, kann Cloudflare keine sichere Verbindung herstellen und Ihre Website zeigt einen 526-Fehler (Invalid SSL Certificate). Richten Sie Ablaufüberwachung ein, um dies zu verhindern.