Базовый пакет SSL CloudFlare обеспечивает шифрование SSL для вашего сайта, но только между браузером вашего клиента и сервером CloudFlare, на котором прерывается SSL. Соединение между CloudFlare и вашим собственным сервером не обслуживается через SSL.
Насколько это безопасно? И какую информацию вы не хотели бы отправлять с помощью этой системы? И насколько легко было бы кому-то подглядывать за вашим соединением CloudFare -> Server?
CloudFlare также предлагает полный сервис SSL, который позволяет вам установить собственный сертификат и зашифровать весь маршрут, но это в 10 раз дороже.
В конечном итоге для клиентов лучшая безопасность - это использовать сквозной SSL. Похоже, что вы можете получить «Полный SSL» только для своей учетной записи Pro, и вы можете сделать это с помощью самоподписанных сертификатов на своем личном сервере, если хотите.
Чтобы злоумышленник мог перехватить трафик при использовании своего «гибкого SSL» (SSL только между клиентами и Cloudflare), этот злоумышленник должен находиться в середине Cloudflare и вашего сервера. Проще всего это сделать, скорее всего, в вашей локальной сети, используя технику MITM, такую как отравление arp, или перехватывая трафик сразу по проводу, если они получают доступ к концентратору или коммутатору с режимом мониторинга.
Разумно ожидать, что злоумышленник не сможет MITM или прослушивать соединения между вашим интернет-провайдером и Cloudflare, если ваш злоумышленник не является одним из интернет-провайдеров или более крупным государственным субъектом (например, АНБ).
Как минимум, если вы собираетесь использовать любой SSL, который вы возражаете, также создайте самозаверяющий сертификат и откройте порт 443 на своем веб-сервере, чтобы информация не передавалась через открытый текст. Я не знаю, отслеживает ли cloudflare изменения в сертификате, но это как минимум предотвратит перехват трафика и заставит злоумышленника использовать более шумную, более агрессивную и потенциально легко заметную атаку.
Редактировать: Единственное, что уровни обслуживания Business и Enterprise предоставляют вам в отношении SSL, - это возможность для вас также загрузить свой собственный сертификат SSL, который будет использоваться клиентами. Например, если вам нужен сертификат расширенной проверки.