Let’s Encrypt и Cloudflare оба предоставляют бесплатный SSL, но работают принципиально по-разному. Let’s Encrypt даёт вам сертификат, которым вы владеете и управляете. Cloudflare управляет SSL как частью своего CDN-прокси — ваши посетители подключаются к Cloudflare, а не напрямую к вашему серверу.
Быстрое сравнение
| Let’s Encrypt | Cloudflare SSL | |
|---|---|---|
| Что вы получаете | Файлы сертификата для установки где угодно | SSL, управляемый прокси Cloudflare |
| Владение сертификатом | Вы владеете | Cloudflare владеет |
| Местоположение приватного ключа | Ваш сервер (или браузер через GetHTTPS) | Edge-серверы Cloudflare |
| Работает без Cloudflare | ✅ | ❌ |
| Соединение посетителя завершается на | Вашем сервере | Edge-сервере Cloudflare |
| Cloudflare может читать трафик | Нет | ⚠️ Да (по дизайну) |
| Срок действия сертификата | 90 дней (вы управляете) | Автоуправление |
| Wildcard | ✅ (DNS-01) | ✅ |
| Не-веб-сервисы (почта, API) | ✅ | ❌ (только HTTP/HTTPS-прокси) |
| Шифрование origin-to-edge | Н/Д (прямое) | Нужно настроить «Full (Strict)» |
| Сложность настройки | Средняя (нужен ACME-клиент) | Низкая (изменение DNS) |
| Привязка к вендору | Нет | Уход = потеря SSL |
Чем они отличаются
Let’s Encrypt: вы владеете сертификатом
Посетитель ←──HTTPS──→ Ваш сервер
(ваш сертификат, ваш приватный ключ)
Ваш сервер завершает TLS-соединение. Вы контролируете приватный ключ, сертификат и всю цепочку. Сертификат работает где угодно — Nginx, Apache, Node.js, почтовые серверы, балансировщики нагрузки, IoT-устройства.
Cloudflare: модель прокси
Посетитель ←──HTTPS──→ Cloudflare Edge ←──???──→ Ваш сервер
(сертификат Cloudflare) (может быть HTTP)
Cloudflare стоит между посетителями и вашим сервером. Зашифрованные соединения посетителей завершаются на edge-серверах Cloudflare. Затем Cloudflare устанавливает отдельное соединение с вашим origin-сервером — которое может быть зашифрованным или нет, в зависимости от настроек.
Режим «Full (Strict)» — Cloudflare проверяет, что на вашем origin-сервере есть валидный сертификат (рекомендуется) Режим «Full» — Cloudflare подключается к origin по HTTPS, но не проверяет сертификат Режим «Flexible» — ⚠️ Cloudflare подключается к origin по незашифрованному HTTP
В режиме «Flexible» соединение между Cloudflare и вашим сервером не зашифровано — любой на этом сетевом пути может читать трафик.
Когда использовать Let’s Encrypt
- Вам нужно сквозное шифрование, которым вы управляете
- Не-веб-сервисы — почтовые серверы (SMTP/IMAP), API не за CDN, подключения к базам данных
- Чувствительность к конфиденциальности — вы не хотите, чтобы третья сторона видела ваш трафик в открытом виде
- Мульти-CDN или без CDN — сертификат работает независимо от CDN-провайдера
- Без привязки к вендору — смена хостинга, CDN или архитектуры без потери SSL
Когда использовать Cloudflare
- Вы уже используете Cloudflare для CDN, DDoS-защиты или DNS
- Вам нужно нулевое управление сертификатами — Cloudflare всё берёт на себя
- Вы на виртуальном хостинге, который не может устанавливать сертификаты
- DDoS-защита — приоритет — прокси Cloudflare поглощает атаки
Лучшее из двух миров
Многие продакшн-настройки используют оба:
- Cloudflare как CDN/прокси (посетители подключаются к Cloudflare)
- Let’s Encrypt на origin-сервере (Cloudflare подключается к вашему серверу с настоящим сертификатом)
- Cloudflare в режиме «Full (Strict)»
Это даёт вам преимущества CDN Cloudflare плюс проверенное сквозное шифрование. Используйте GetHTTPS для получения origin-сертификата.
Сценарии миграции
Переход с Cloudflare на прямой HTTPS
Если вы хотите прекратить использование прокси Cloudflare:
- Получите сертификат Let’s Encrypt для вашего домена
- Установите его на сервер (Nginx, Apache)
- В DNS Cloudflare измените ваши A/AAAA-записи с «Proxied» (оранжевое облако) на «DNS only» (серое облако)
- Трафик теперь идёт напрямую на ваш сервер с вашим собственным сертификатом
Переход с прямого HTTPS на Cloudflare
Если вы добавляете Cloudflare к существующему HTTPS-сайту:
- Добавьте свой домен в Cloudflare
- Обновите nameservers
- Cloudflare автоматически провизионирует Universal SSL
- Установите режим SSL на «Full (Strict)» (у вас уже есть валидный origin-сертификат)
Сохраните существующий сертификат Let’s Encrypt — он служит origin-сертификатом для режима Full (Strict).
Часто задаваемые вопросы
Cloudflare предоставляет «настоящий» SSL-сертификат?
Cloudflare выпускает настоящий сертификат, которому доверяют браузеры, для вашего домена — но он находится на инфраструктуре Cloudflare, а не на вашей. Вы не можете его скачать или использовать в другом месте. Если вы перестанете использовать Cloudflare, сертификат исчезнет. Для портативного сертификата, которым вы владеете, используйте Let’s Encrypt.
Cloudflare SSL бесплатен?
Да, на бесплатном плане. Cloudflare называет это «Universal SSL», и оно автоматически покрывает ваш домен и поддомены. Однако вы не платите за сертификат — вы принимаете модель прокси и то, что Cloudflare видит весь трафик.
Можно ли использовать оба одновременно?
Да — и вы должны это делать, если используете Cloudflare. Установите сертификат Let’s Encrypt на origin-сервер и настройте Cloudflare в режим «Full (Strict)». Это гарантирует, что соединение origin-to-edge тоже зашифровано и верифицировано. Полное руководство по настройке →
Cloudflare читает мой трафик?
По дизайну — да. Cloudflare завершает TLS на своих edge-серверах — трафик расшифровывается там для кэширования, инспекции WAF и фильтрации DDoS, затем повторно шифруется для отправки на ваш origin. Так работает любой обратный прокси. Если это неприемлемо для вашего сценария (юридические, комплаенс, требования конфиденциальности), используйте прямой HTTPS с Let’s Encrypt.
А как насчёт «Origin Certificates» от Cloudflare?
Cloudflare предлагает Origin CA сертификаты — бесплатные сертификаты, которым доверяет только Cloudflare (не браузеры напрямую). Они действительны до 15 лет и устраняют необходимость продления для origin-соединения. Но они работают только пока вы остаётесь на Cloudflare.