Todos os guias de implantacao Implantacao

Configurando um Certificado de Origem com Cloudflare

Quando você usa o Cloudflare como CDN/proxy, seus visitantes se conectam aos servidores de borda do Cloudflare. Mas e a conexão entre o Cloudflare e seu servidor de origem? Sem um certificado na sua origem, essa conexão pode ficar sem criptografia — anulando o propósito do HTTPS.

Modos SSL do Cloudflare explicados

ModoVisitante → CloudflareCloudflare → OrigemSegurança
OffHTTPHTTP❌ Sem criptografia
FlexibleHTTPS ✅HTTP ❌⚠️ Falsa sensação de segurança
FullHTTPS ✅HTTPS (não verificado)⚠️ Criptografado mas sem válidação de certificado
Full (Strict)HTTPS ✅HTTPS (verificado) ✅✅ Recomendado

“Flexible” é perigoso. Seus visitantes veem um cadeado, mas a conexão Cloudflare→origem é HTTP puro. Qualquer pessoa no caminho de rede pode ler o tráfego. Sempre use Full (Strict).

Configurando Full (Strict) com um certificado Let’s Encrypt

A melhor abordagem: instale um certificado real e publicamente confiável na sua origem e habilite Full (Strict).

Passo 1: Obter um certificado Let’s Encrypt

Use o GetHTTPS para obter um certificado gratuito para seu domínio. Você precisa desabilitar temporariamente o proxy do Cloudflare (nuvem cinza nas configurações DNS) para que o challenge HTTP-01 alcance sua origem, ou use DNS-01 que funciona independentemente.

Método DNS-01 (sem necessidade de alterar o proxy):

  1. No GetHTTPS, escolha o challenge DNS-01
  2. Adicione o registro TXT _acme-challenge no DNS do Cloudflare
  3. Verifique e baixe o certificado

Método HTTP-01:

  1. No DNS do Cloudflare, clique na nuvem laranja → nuvem cinza (DNS only) para seu domínio
  2. Complete o challenge HTTP-01 no GetHTTPS
  3. Após obter o certificado, reative a nuvem laranja (proxied)

Passo 2: Instalar no seu servidor de origem

Instale o certificado no Nginx ou Apache normalmente.

Passo 3: Habilitar Full (Strict) no Cloudflare

  1. Vá ao painel do Cloudflare → seu domínio
  2. SSL/TLSOverview
  3. Selecione Full (Strict)

O Cloudflare agora verificará se sua origem tem um certificado válido e confiável antes de conectar.

Alternativa: Certificado Cloudflare Origin CA

O Cloudflare oferece seus próprios certificados Origin CA — certificados gratuitos que são confiáveis apenas pelo Cloudflare, não diretamente pelos navegadores.

Como obter um

  1. Painel do Cloudflare → SSL/TLSOrigin Server
  2. Clique em Create Certificate
  3. Escolha o tipo de chave (RSA ou ECDSA) e validade (até 15 anos)
  4. Baixe o certificado e a chave privada
  5. Instale no seu servidor de origem

Prós e contras vs Let’s Encrypt

Cloudflare Origin CALet’s Encrypt (via GetHTTPS)
Confiável porApenas CloudflareTodos os navegadores (publicamente confiável)
ValidadeAté 15 anos90 dias
Renovação automática necessáriaNão (validade longa)Sim (a cada 60-90 dias)
Funciona sem Cloudflare
Acesso direto pelo navegador❌ (mostra erro)
CustoGratuitoGratuito

Use Cloudflare Origin CA se sua origem está sempre atrás do Cloudflare e você quer zero gerenciamento de renovação.

Use Let’s Encrypt se você pode precisar contornar o Cloudflare (manutenção, migração), precisa de acesso direto à sua origem ou quer um certificado que funcione em qualquer lugar.

Verificando se Full (Strict) está funcionando

Após a configuração, teste se a conexão está totalmente criptografada:

  1. Painel do Cloudflare → SSL/TLSOverview deve mostrar “Full (Strict)”
  2. Visite seu site → o cadeado deve mostrar o certificado do Cloudflare para os visitantes
  3. Verifique a origem diretamente (contornando o Cloudflare):
    curl -I --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com
    Isso deve retornar uma resposta HTTPS válida com seu certificado Let’s Encrypt (ou Origin CA).

Perguntas frequentes

Por que não usar apenas o modo Flexible?

O modo Flexible criptografa a conexão visitante→Cloudflare, mas envia o tráfego do Cloudflare para sua origem em HTTP puro. Isso significa:

  • Seu ISP, provedor de hospedagem ou qualquer pessoa na rede entre a borda do Cloudflare e seu servidor pode ler todo o tráfego
  • Seus visitantes veem um cadeado e pensam que estão seguros, mas a conexão backend não está
  • Isso é especialmente perigoso para páginas de login, formulários de pagamento ou qualquer dado sensível

Meu certificado de origem precisa corresponder ao meu domínio exatamente?

Para o modo Full (Strict), sim — o certificado de origem deve ser válido para o domínio ao qual o Cloudflare está se conectando. Um certificado Let’s Encrypt para example.com funcionará. Um certificado autoassinado ou um certificado para um domínio diferente não funcionará.

Posso usar um certificado wildcard de origem?

Sim. Um certificado wildcard para *.example.com na sua origem funciona com Full (Strict) para qualquer subdomínio proxy pelo Cloudflare.

O que acontece se meu certificado de origem expirar?

O modo Full (Strict) do Cloudflare verifica a validade do certificado. Se seu certificado de origem expirar, o Cloudflare não consegue estabelecer uma conexão segura e seu site mostra um erro 526 (Invalid SSL Certificate). Configure monitoramento de expiração para prevenir isso.

Artigos relacionados

Comparacao 2026-05-07
Let's Encrypt vs Cloudflare SSL: Qual Você Deve Usar?
Let's Encrypt te dá um certificado que você possui. Cloudflare gerencia SSL como parte do proxy CDN deles. Compare as duas abordagens em privacidade, controle e casos de uso.
Implantacao 2026-05-08
Como Instalar um Certificado SSL no Nginx
Guia passo a passo para instalar um certificado SSL no Nginx. Abrange upload de arquivos, configuração completa do bloco server, boas práticas de TLS, HTTP/2, HSTS, configuração de redirecionamento, testes e solução de 6 erros comuns.
Primeiros passos 2026-05-08
Como obter um certificado SSL gratuito (guia passo a passo)
Obtenha um certificado SSL gratuito do Let's Encrypt em 5 minutos — sem software para instalar, sem conta para criar. Guia completo cobrindo 4 métodos, ambos os tipos de desafio, instalação em 6 plataformas e solução de problemas.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado