Let’s Encrypt 和 Cloudflare 都提供免費 SSL,但運作方式根本不同。Let’s Encrypt 給你一張你擁有並控制的憑證。Cloudflare 作為其 CDN 代理的一部分管理 SSL — 你的訪客連接到 Cloudflare,而非直接連接你的伺服器。
快速比較
| Let’s Encrypt | Cloudflare SSL | |
|---|---|---|
| 你得到什麼 | 可安裝在任何地方的憑證檔案 | 由 Cloudflare 代理管理的 SSL |
| 憑證所有權 | 你擁有 | Cloudflare 擁有 |
| 私鑰位置 | 你的伺服器(或透過 GetHTTPS 在瀏覽器中) | Cloudflare 的邊緣伺服器 |
| 脫離 Cloudflare 可用 | ✅ | ❌ |
| 訪客連線終止於 | 你的伺服器 | Cloudflare 的邊緣 |
| Cloudflare 能讀取流量 | 否 | ⚠️ 是(設計如此) |
| 憑證有效期 | 90 天(你管理) | 自動管理 |
| 萬用字元 | ✅ (DNS-01) | ✅ |
| 非 Web 服務(郵件、API) | ✅ | ❌(僅 HTTP/HTTPS 代理) |
| 來源站到邊緣加密 | N/A(直連) | 必須設定 “Full (Strict)“ |
| 設定複雜度 | 中等(需要 ACME 用戶端) | 低(修改 DNS) |
| 廠商鎖定 | 無 | 離開 = 失去 SSL |
兩者的區別
Let’s Encrypt:你擁有憑證
訪客 ←──HTTPS──→ 你的伺服器
(你的憑證,你的私鑰)你的伺服器終止 TLS 連線。你控制私鑰、憑證和整個憑證鏈。憑證可用於任何地方 — Nginx、Apache、Node.js、郵件伺服器、負載平衡器、IoT 裝置。
Cloudflare:代理模式
訪客 ←──HTTPS──→ Cloudflare 邊緣 ←──???──→ 你的伺服器
(Cloudflare 的憑證) (可能是 HTTP)Cloudflare 位於訪客和你的伺服器之間。訪客的加密連線在 Cloudflare 的邊緣終止。然後 Cloudflare 向你的來源伺服器發起單獨的連線 — 可能加密也可能不加密,取決於你的設定。
“Full (Strict)” 模式 — Cloudflare 驗證你的來源站有有效憑證(推薦) “Full” 模式 — Cloudflare 透過 HTTPS 連接來源站但不驗證憑證 “Flexible” 模式 — ⚠️ Cloudflare 透過明文 HTTP 連接你的來源站
在 “Flexible” 模式下,Cloudflare 和你伺服器之間的連線是未加密的 — 該網路路徑上的任何人都能讀取流量。
何時使用 Let’s Encrypt
- 你需要端對端加密且由你控制
- 非 Web 服務 — 郵件伺服器(SMTP/IMAP)、不在 CDN 後面的 API、資料庫連線
- 注重隱私 — 你不希望第三方以明文形式看到你的流量
- 多 CDN 或無 CDN — 憑證不依賴於 CDN 提供商
- 無廠商鎖定 — 切換主機、CDN 或架構而不失去 SSL
何時使用 Cloudflare
- 你已經在使用 Cloudflare 做 CDN、DDoS 防護或 DNS
- 你不想管理任何憑證 — Cloudflare 處理一切
- 你在虛擬主機上且無法安裝憑證
- DDoS 防護是首要需求 — Cloudflare 的代理吸收攻擊
兩全其美
許多正式環境同時使用兩者:
- Cloudflare 作為 CDN/代理(訪客連接到 Cloudflare)
- Let’s Encrypt 在來源伺服器上(Cloudflare 用真實憑證連接你的伺服器)
- 將 Cloudflare 設為 “Full (Strict)” 模式
這讓你獲得 Cloudflare 的 CDN 優勢加上經過驗證的端對端加密。使用 GetHTTPS 取得來源站憑證。
遷移場景
從 Cloudflare 遷移到直連 HTTPS
如果你想停止使用 Cloudflare 的代理:
- 為你的網域取得 Let’s Encrypt 憑證
- 安裝到你的伺服器(Nginx、Apache)
- 在 Cloudflare DNS 中,將 A/AAAA 記錄從「已代理」(橙色雲朵)改為「僅 DNS」(灰色雲朵)
- 流量現在直接到達你的伺服器,使用你自己的憑證
從直連 HTTPS 遷移到 Cloudflare
如果你要為現有 HTTPS 站台新增 Cloudflare:
- 將網域新增到 Cloudflare
- 更新網域名稱伺服器
- Cloudflare 自動設定 Universal SSL
- 將 SSL 模式設為 “Full (Strict)“(你已有有效的來源站憑證)
保留你現有的 Let’s Encrypt 憑證 — 它作為 Full (Strict) 模式的來源站憑證。
常見問題
Cloudflare 提供的是「真正的」SSL 憑證嗎?
Cloudflare 為你的網域簽發真正的、瀏覽器信任的憑證 — 但它存在於 Cloudflare 的基礎架構上,不在你這裡。你無法下載它或在其他地方使用。如果停止使用 Cloudflare,憑證就沒了。要取得你擁有的可攜式憑證,使用 Let’s Encrypt。
Cloudflare SSL 免費嗎?
是的,在免費方案中。Cloudflare 稱之為 “Universal SSL”,自動涵蓋你的網域和子網域。但你不是在為憑證付費 — 你是在接受代理模式和 Cloudflare 能看到所有流量這一事實。
可以同時使用兩者嗎?
可以 — 而且如果你使用 Cloudflare,應該這樣做。在來源伺服器上安裝 Let’s Encrypt 憑證並將 Cloudflare 設為 “Full (Strict)” 模式。這確保來源站到邊緣的連線也是加密和驗證的。完整設定指南 →
Cloudflare 能讀取我的流量嗎?
從設計上說,是的。Cloudflare 在其邊緣終止 TLS — 流量在那裡被解密用於快取、WAF 檢查和 DDoS 過濾,然後重新加密發往你的來源站。這是任何反向代理的運作方式。如果這對你的使用場景不可接受(法律、合規、隱私要求),請使用 Let’s Encrypt 的直連 HTTPS。
Cloudflare 的「來源站憑證」是什麼?
Cloudflare 提供來源站 CA 憑證 — 僅被 Cloudflare 信任(瀏覽器不直接信任)的免費憑證。它們有效期長達 15 年,消除了來源站連線的續簽麻煩。但它們僅在你留在 Cloudflare 時有效。