文档站、官网、博客、前端应用通常用 Universal SSL 就够。Workers / Pages 自定义域名多数由 Cloudflare 管理证书。
如果有 VPS / NGINX / Caddy 源站,源站装公开 CA 或 Cloudflare Origin CA 证书,然后用 Full (strict)。Flexible 只适合短期迁移,长期会明文回源并容易循环跳转。HSTS preload 等所有子域、证书续期和回滚路径稳定后再启用;自有证书要看计划限制和兼容要求。
免费与计划限制
Section titled “免费与计划限制”| 能力 | Free 是否够用 | 判断依据 |
|---|---|---|
| Universal SSL | 通常够用 | 自动签发和续期,覆盖多数站点。 |
| Origin CA | 可用 | 源站只经 Cloudflare 访问时好用;不能给浏览器直连用。 |
| Full / Full (strict) | 可用 | 新项目直接以 Full (strict) 为目标。 |
| Always Use HTTPS | 可用 | Full (strict) 正常后再开。 |
| HSTS | 可用 | 强但难回滚,先短周期验证。 |
| Authenticated Origin Pulls | 可用 | 有自有源站且担心绕过 Cloudflare 时再评估。 |
| 高阶证书能力 | 多为付费或高阶计划 | 有自定义证书、旧客户端或合规要求时再看。 |
默认顺序是:DNS 记录确认开启代理,等 Universal SSL 可用,源站准备公开 CA 或 Cloudflare Origin CA 证书,然后把 SSL/TLS 模式设为 Full (strict)。确认链路稳定后再开 Always Use HTTPS,按用户群体设置最低 TLS 版本,最后评估 HSTS。
Authenticated Origin Pulls 可以让源站只接受经过 Cloudflare 的请求。纯 Workers、Pages、Static Assets 通常不需要;有 VPS 源站并承载登录、后台、支付或写接口时再评估。