Let’s Encrypt et Cloudflare fournissent tous deux du SSL gratuit, mais ils fonctionnent de maniere fondamentalement differente. Let’s Encrypt vous donne un certificat que vous possedez et controlez. Cloudflare gere le SSL dans le cadre de son proxy CDN — vos visiteurs se connectent a Cloudflare, pas directement a votre serveur.
Comparaison rapide
| Let’s Encrypt | Cloudflare SSL | |
|---|---|---|
| Ce que vous obtenez | Fichiers de certificat a installer partout | SSL gere par le proxy de Cloudflare |
| Propriete du certificat | Vous le possedez | Cloudflare le possede |
| Emplacement de la cle privee | Votre serveur (ou navigateur avec GetHTTPS) | Serveurs edge de Cloudflare |
| Fonctionne sans Cloudflare | ✅ | ❌ |
| Connexion visiteur se termine a | Votre serveur | L’edge de Cloudflare |
| Cloudflare peut lire le trafic | Non | ⚠️ Oui (par conception) |
| Validite du certificat | 90 jours (vous gerez) | Gere automatiquement |
| Wildcard | ✅ (DNS-01) | ✅ |
| Services non-web (e-mail, APIs) | ✅ | ❌ (proxy HTTP/HTTPS uniquement) |
| Chiffrement origine-edge | N/A (direct) | Doit configurer “Full (Strict)“ |
| Complexite de configuration | Moyenne (client ACME requis) | Faible (changement DNS) |
| Dependance fournisseur | Aucune | Quitter = perdre le SSL |
Comment ils different
Let’s Encrypt : vous possedez le certificat
Visiteur ←──HTTPS──→ Votre serveur
(votre certificat, votre cle privee)
Votre serveur termine la connexion TLS. Vous controlez la cle privee, le certificat et toute la chaine. Le certificat fonctionne partout — Nginx, Apache, Node.js, serveurs mail, load balancers, appareils IoT.
Cloudflare : modele proxy
Visiteur ←──HTTPS──→ Cloudflare Edge ←──???──→ Votre serveur
(Certificat Cloudflare) (peut etre HTTP)
Cloudflare se place entre les visiteurs et votre serveur. Les connexions chiffrees des visiteurs se terminent a l’edge de Cloudflare. Cloudflare etablit ensuite une connexion separee vers votre serveur d’origine — qui peut ou non etre chiffree, selon vos parametres.
Mode “Full (Strict)” — Cloudflare verifie que votre origine a un certificat valide (recommande) Mode “Full” — Cloudflare se connecte a votre origine en HTTPS mais ne verifie pas le certificat Mode “Flexible” — ⚠️ Cloudflare se connecte a votre origine en HTTP en clair
En mode “Flexible”, la connexion entre Cloudflare et votre serveur est non chiffree — quiconque sur ce chemin reseau peut lire le trafic.
Quand utiliser Let’s Encrypt
- Vous voulez un chiffrement de bout en bout que vous controlez
- Services non-web — serveurs mail (SMTP/IMAP), APIs non derriere un CDN, connexions bases de donnees
- Sensible a la confidentialite — vous ne voulez pas qu’un tiers voie votre trafic en clair
- Multi-CDN ou pas de CDN — le certificat fonctionne independamment du fournisseur CDN
- Pas de dependance fournisseur — changez d’hebergement, de CDN ou d’architecture sans perdre le SSL
Quand utiliser Cloudflare
- Vous utilisez deja Cloudflare pour le CDN, la protection DDoS ou le DNS
- Vous voulez zero gestion de certificats — Cloudflare gere tout
- Vous etes sur un hebergement mutualise qui ne peut pas installer de certificats
- La protection DDoS est la priorite — le proxy de Cloudflare absorbe les attaques
Le meilleur des deux mondes
De nombreuses configurations de production utilisent les deux :
- Cloudflare comme CDN/proxy (les visiteurs se connectent a Cloudflare)
- Let’s Encrypt sur le serveur d’origine (Cloudflare se connecte a votre serveur avec un vrai certificat)
- Configurer Cloudflare en mode “Full (Strict)”
Cela vous donne les avantages CDN de Cloudflare plus un chiffrement de bout en bout verifie. Utilisez GetHTTPS pour obtenir le certificat d’origine.
Scenarios de migration
Passer de Cloudflare au HTTPS direct
Si vous voulez arreter d’utiliser le proxy de Cloudflare :
- Obtenez un certificat Let’s Encrypt pour votre domaine
- Installez-le sur votre serveur (Nginx, Apache)
- Dans le DNS Cloudflare, changez vos enregistrements A/AAAA de “Proxied” (nuage orange) a “DNS only” (nuage gris)
- Le trafic va maintenant directement a votre serveur avec votre propre certificat
Passer du HTTPS direct a Cloudflare
Si vous ajoutez Cloudflare a un site HTTPS existant :
- Ajoutez votre domaine a Cloudflare
- Mettez a jour vos serveurs de noms
- Cloudflare provisionne automatiquement Universal SSL
- Configurez le mode SSL sur “Full (Strict)” (vous avez deja un certificat d’origine valide)
Gardez votre certificat Let’s Encrypt existant — il sert de certificat d’origine pour le mode Full (Strict).
Questions frequemment posees
Cloudflare fournit-il un “vrai” certificat SSL ?
Cloudflare emet un vrai certificat reconnu par les navigateurs pour votre domaine — mais il reside sur l’infrastructure de Cloudflare, pas la votre. Vous ne pouvez pas le telecharger ni l’utiliser ailleurs. Si vous arretez d’utiliser Cloudflare, le certificat disparait. Pour un certificat portable que vous possedez, utilisez Let’s Encrypt.
Le SSL Cloudflare est-il gratuit ?
Oui, sur le plan gratuit. Cloudflare l’appelle “Universal SSL” et il couvre automatiquement votre domaine et ses sous-domaines. Cependant, vous ne payez pas pour le certificat — vous acceptez le modele proxy et que Cloudflare voie tout le trafic.
Puis-je utiliser les deux en meme temps ?
Oui — et vous devriez si vous utilisez Cloudflare. Installez un certificat Let’s Encrypt sur votre serveur d’origine et configurez Cloudflare en mode “Full (Strict)”. Cela garantit que la connexion origine-edge est egalement chiffree et verifiee. Guide complet de configuration →
Cloudflare lit-il mon trafic ?
Par conception, oui. Cloudflare termine le TLS a leur edge — le trafic y est dechiffre pour le cache, l’inspection WAF et le filtrage DDoS, puis re-chiffre vers votre origine. C’est ainsi que fonctionne tout proxy inverse. Si c’est inacceptable pour votre cas d’utilisation (exigences legales, de conformite ou de confidentialite), utilisez le HTTPS direct avec Let’s Encrypt.
Qu’en est-il des “Origin Certificates” de Cloudflare ?
Cloudflare propose des certificats Origin CA — des certificats gratuits reconnus uniquement par Cloudflare (pas directement par les navigateurs). Ils sont valides jusqu’a 15 ans et eliminent les tracas de renouvellement pour la connexion d’origine. Mais ils ne fonctionnent que tant que vous restez sur Cloudflare.