默认情况下，所有cloud站点都支持SSL。Universal SSL在浏览器和CloudFlare的边缘服务器之间提供最先进的加密，使web流量保持私有和安全，不受篡改。CloudFlare的灵活SSL模式是免费计划中CloudFlare站点的默认模式。灵活的SSL模式意味着从浏览器到CloudFlare的流量将被加密，但是从CloudFlare到站点源服务器的流量将不会被加密。为了利用我们的完整且严格的SSL模式来加密CloudFlare和源服务器之间的连接，有必要在源服务器上安装一个证书。我们使通用SSL免费，这样每个人都可以使用现代的、强大的加密工具来保护他们的网络流量。更多加密流量有助于建立一个更安全、更好的互联网。为了与CloudFlare帮助构建更好的互联网的目标保持一致，我们提供了一些关于如何将您的站点从灵活的SSL升级到完整的或严格的SSL的提示。选项1：完全SSL:创建自签名证书与证书颁发机构（CA）打交道可能会令人沮丧，并且获取证书的过程可能会非常耗时。同时，您可以通过在源服务器上安装自签名证书开始。这使得CloudFlare能够加密与源站的通信，从而保护通信免受被动监视，但不能抵御主动攻击者。我们的CFSSL的CSR指南介绍了如何生成自签名证书。使用OpenSSL创建它是另一个选择。一旦创建了自签名证书和私钥，就可以在源服务器上安装它们。Digicert提供了一个安装证书的指南，该证书涵盖了最流行的服务器软件。请记住，自签名证书不是由受信任的CA签名的。这意味着您可以将SSL设置从Flexible SSL更改为Full，but not Full（strict）。完整的SSL不能提供身份验证，但是它可以确保到源站的连接是加密的，并且可以防止被动的窥探。选项2：严格SSL：从受信任的CA获取证书大多数CA提供低成本甚至免费的证书。提供免费SSL证书的流行CA是StartSSL。在源服务器上购买并安装可信证书是当前在站点上启用严格SSL的最简单方法。要在服务器上启用TLS，您需要证书和相应的私钥。从CA获取证书的第一步是创建证书签名请求（CSR）。CSR包含您的公钥和您拥有相关私钥的证明。CA将对其进行验证，并将安装在web服务器上的证书返回给您。我们为您提供了一个使用CloudFlare的CFSSL工具来创建私钥和CSR的指南，您也可以使用OpenSSL。一旦在源服务器上安装了证书，就可以将SSL设置从Flexible更改为Full（严格），并且还可以获得到源服务器的经过身份验证和加密的连接。选项3：（偷偷预览）CloudFlare源CA/证书固定很快，您就可以将您的CSR发送到CloudFlare以获得证书，从而加快证书获取过程。这个过程将类似于常规CA，但要快得多。浏览器还不信任这些证书，但CloudFlare将信任这些证书，从而允许对后端连接进行加密和身份验证。这还可以保护您的网站，如果其中一个公开信任的证书颁发机构受到攻击者的危害，并用于颁发非法证书。我们也在研究添加一个称为证书固定的特性的可能性。证书固定将允许您确切地告诉CloudFlare要信任哪个证书作为您的来源。这将允许客户使用托管服务，这些服务不允许自定义证书具有完全加密隧道的好处，或者简单地使用自签名证书，同时获得身份验证和加密的好处。