Let’s Encrypt e Cloudflare ambos fornecem SSL grátis, mas funcionam de formas fundamentalmente diferentes. Let’s Encrypt te dá um certificado que você possui e controla. Cloudflare gerencia SSL como parte do seu proxy CDN — seus visitantes se conectam ao Cloudflare, não diretamente ao seu servidor.
Comparação rápida
| Let’s Encrypt | Cloudflare SSL | |
|---|---|---|
| O que você obtém | Arquivos de certificado para instalar em qualquer lugar | SSL gerenciado pelo proxy do Cloudflare |
| Propriedade do certificado | Você é o dono | Cloudflare é o dono |
| Localização da chave privada | Seu servidor (ou navegador com GetHTTPS) | Servidores edge do Cloudflare |
| Funciona sem Cloudflare | ✅ | ❌ |
| Conexão do visitante termina em | Seu servidor | Edge do Cloudflare |
| Cloudflare pode ler o tráfego | Não | ⚠️ Sim (por design) |
| Validade do certificado | 90 dias (você gerencia) | Auto-gerenciado |
| Wildcard | ✅ (DNS-01) | ✅ |
| Serviços não-web (email, APIs) | ✅ | ❌ (apenas proxy HTTP/HTTPS) |
| Criptografia origem-para-edge | N/A (direto) | Deve configurar “Full (Strict)“ |
| Complexidade de configuração | Média (cliente ACME necessário) | Baixa (alteração de DNS) |
| Lock-in de fornecedor | Nenhum | Sair = perder o SSL |
Como eles diferem
Let’s Encrypt: você é dono do certificado
Visitante ←──HTTPS──→ Seu Servidor
(seu certificado, sua chave privada)
Seu servidor termina a conexão TLS. Você controla a chave privada, o certificado e toda a cadeia. O certificado funciona em qualquer lugar — Nginx, Apache, Node.js, servidores de email, load balancers, dispositivos IoT.
Cloudflare: modelo de proxy
Visitante ←──HTTPS──→ Edge Cloudflare ←──???──→ Seu Servidor
(cert do Cloudflare) (pode ser HTTP)
O Cloudflare fica entre os visitantes e seu servidor. As conexões criptografadas dos visitantes terminam no edge do Cloudflare. O Cloudflare então faz uma conexão separada ao seu servidor de origem — que pode ou não ser criptografada, dependendo das suas configurações.
Modo “Full (Strict)” — Cloudflare verifica que sua origem tem um certificado válido (recomendado) Modo “Full” — Cloudflare conecta à sua origem com HTTPS mas não verifica o certificado Modo “Flexible” — ⚠️ Cloudflare conecta à sua origem por HTTP em texto plano
No modo “Flexible”, a conexão entre o Cloudflare e seu servidor não é criptografada — qualquer pessoa naquele caminho de rede pode ler o tráfego.
Quando usar Let’s Encrypt
- Você quer criptografia ponta a ponta que você controla
- Serviços não-web — servidores de email (SMTP/IMAP), APIs que não estão atrás de CDN, conexões com banco de dados
- Sensível à privacidade — você não quer que terceiros vejam seu tráfego em texto plano
- Multi-CDN ou sem CDN — certificado funciona independentemente do provedor de CDN
- Sem lock-in de fornecedor — troque de hospedagem, CDN ou arquitetura sem perder o SSL
Quando usar Cloudflare
- Você já usa Cloudflare para CDN, proteção DDoS ou DNS
- Você quer zero gerenciamento de certificados — Cloudflare cuida de tudo
- Você está em hospedagem compartilhada que não pode instalar certificados
- Proteção DDoS é a prioridade — o proxy do Cloudflare absorve ataques
O melhor dos dois mundos
Muitas configurações de produção usam ambos:
- Cloudflare como CDN/proxy (visitantes conectam ao Cloudflare)
- Let’s Encrypt no servidor de origem (Cloudflare conecta ao seu servidor com um certificado real)
- Configure o Cloudflare para modo “Full (Strict)”
Isso te dá os benefícios do CDN do Cloudflare mais criptografia ponta a ponta verificada. Use GetHTTPS para obter o certificado de origem.
Cenários de migração
Saindo do Cloudflare para HTTPS direto
Se você quer parar de usar o proxy do Cloudflare:
- Obtenha um certificado Let’s Encrypt para seu domínio
- Instale no seu servidor (Nginx, Apache)
- No DNS do Cloudflare, mude seus registros A/AAAA de “Proxied” (nuvem laranja) para “DNS only” (nuvem cinza)
- O tráfego agora vai diretamente ao seu servidor com seu próprio certificado
Saindo de HTTPS direto para Cloudflare
Se você está adicionando Cloudflare a um site HTTPS existente:
- Adicione seu domínio ao Cloudflare
- Atualize seus nameservers
- O Cloudflare provisiona automaticamente o Universal SSL
- Configure o modo SSL para “Full (Strict)” (você já tem um certificado de origem válido)
Mantenha seu certificado Let’s Encrypt existente — ele serve como certificado de origem para o modo Full (Strict).
Perguntas frequentes
O Cloudflare fornece um certificado SSL “real”?
O Cloudflare emite um certificado real, confiável pelos navegadores, para seu domínio — mas ele vive na infraestrutura do Cloudflare, não na sua. Você não pode baixá-lo ou usá-lo em outro lugar. Se parar de usar o Cloudflare, o certificado desaparece. Para um certificado portátil que você possui, use Let’s Encrypt.
O SSL do Cloudflare é grátis?
Sim, no plano grátis. O Cloudflare chama de “Universal SSL” e cobre seu domínio e subdomínios automaticamente. No entanto, você não está pagando pelo certificado — está aceitando o modelo de proxy e que o Cloudflare veja todo o tráfego.
Posso usar ambos ao mesmo tempo?
Sim — e você deveria se usa Cloudflare. Instale um certificado Let’s Encrypt no seu servidor de origem e configure o Cloudflare para modo “Full (Strict)”. Isso garante que a conexão origem-para-edge também seja criptografada é verificada. Guia completo de configuração →
O Cloudflare lê meu tráfego?
Por design, sim. O Cloudflare termina o TLS no edge — o tráfego é descriptografado lá para cache, inspeção WAF e filtragem DDoS, depois re-criptografado para sua origem. É assim que qualquer proxy reverso funciona. Se isso for inaceitável para seu caso de uso (requisitos legais, de conformidade ou privacidade), use HTTPS direto com Let’s Encrypt.
E os “Origin Certificates” do Cloudflare?
O Cloudflare oferece certificados Origin CA — certificados grátis confiáveis apenas pelo Cloudflare (não por navegadores diretamente). Eles são válidos por até 15 anos e eliminam o trabalho de renovação para a conexão de origem. Mas só funcionam enquanto você permanecer no Cloudflare.