TLS mit Cloudflare konfigurieren
Schritt-für-Schritt-Anleitung: Encryption Mode Full (Strict), Minimum TLS Version, automatisches TLS 1.3 und 0-RTT Connection Resumption in Cloudflare einrichten.
TLS mit Cloudflare — Zero-Config TLS 1.3 an der Edge
Cloudflare übernimmt TLS-Terminierung an der Edge: TLS 1.3, automatische Zertifikatsausstellung und -erneuerung sind standardmäßig aktiv. Der entscheidende Punkt ist der Pfad zwischen Cloudflare und Ihrem Origin-Server — hier fehlt oft Verschlüsselung oder Zertifikatsvalidierung.
Diese Anleitung setzt den Encryption Mode auf Full (Strict), konfiguriert Minimum TLS 1.2, aktiviert TLS 1.3 und erklärt 0-RTT. Das Ergebnis: durchgängige End-to-End-Verschlüsselung mit Zertifikatsvalidierung — kein ungesicherter Pfad zwischen Edge und Origin.
Encryption Mode auf Full (Strict) setzen
Der häufigste Konfigurationsfehler bei Cloudflare: der Encryption Mode steht auf Flexible oder Full. Bei Flexible ist der Pfad zwischen Cloudflare und Ihrem Origin-Server unverschlüsselt. Bei Full fehlt die Zertifikatsvalidierung — selbstsignierte Zertifikate werden akzeptiert. Full (Strict) erzwingt beides.
# Cloudflare Dashboard → SSL/TLS → Overview
# Encryption Mode: Full (Strict) auswählen
# Warum Full (Strict)?
# ┌─────────────────────────────────────────────────────────┐
# │ Flexible → Cloudflare–Origin unverschlüsselt (!) │
# │ Full → Verschlüsselt, aber keine Zert-Prüfung │
# │ Full (Strict) → Verschlüsselt + CA-Zertifikat Pflicht │ ✓
# └─────────────────────────────────────────────────────────┘
# Origin Certificate erstellen (alternativ zu Let's Encrypt)
# Dashboard → SSL/TLS → Origin Server → Create Certificate
# Gültigkeit: 15 Jahre (für CF-Proxy-Umgebungen empfohlen)Full (Strict) erfordert ein gültiges CA-Zertifikat auf Ihrem Origin-Server. Verwenden Sie entweder ein Cloudflare Origin Certificate (Dashboard → SSL/TLS → Origin Server) oder ein Let's Encrypt Zertifikat via Certbot.
Minimum TLS Version und TLS 1.3 aktivieren
Cloudflare aktiviert TLS 1.3 automatisch für alle Domains — keine manuelle Konfiguration nötig. Die Minimum TLS Version bestimmt, welche ältesten Protokolle Cloudflare noch akzeptiert. Setzen Sie sie auf TLS 1.2, um TLS 1.0 und 1.1 zu deaktivieren.
# Cloudflare Dashboard → SSL/TLS → Edge Certificates
# 1. Minimum TLS Version
# → TLS 1.2 auswählen (TLS 1.0/1.1 deaktivieren)
# 2. TLS 1.3
# → On (wird für alle Domains automatisch aktiviert)
# 3. Opportunistic Encryption
# → On (verschlüsselt auch HTTP-Traffic transparent)
# Per Cloudflare API konfigurieren (Minimum TLS):
curl -X PATCH \
https://api.cloudflare.com/client/v4/zones/ZONE_ID/settings/min_tls_version \
-H "Authorization: Bearer API_TOKEN" \
-H "Content-Type: application/json" \
--data '{"value":"1.2"}'Edge Certificates und 0-RTT konfigurieren
Always Use HTTPS und Automatic HTTPS Rewrites lösen die häufigsten Mixed-Content-Probleme automatisch. 0-RTT Connection Resumption reduziert die Verbindungslatenz bei wiederkehrenden Besuchern erheblich, birgt jedoch ein Replay-Risiko bei nicht-idempotenten Anfragen.
# Cloudflare Dashboard → SSL/TLS → Edge Certificates
# Always Use HTTPS → On
# Leitet alle HTTP-Anfragen auf HTTPS um
# Automatic HTTPS Rewrites → On
# Korrigiert Mixed-Content-URLs automatisch im HTML
# 0-RTT Connection Resumption → On (optional, Abwägung nötig)
# Reduziert Latenz, aber Replay-Angriffe möglich
# Nur aktivieren wenn Anwendung idempotente GETs dominiert
# HSTS (HTTP Strict Transport Security)
# Dashboard → SSL/TLS → Edge Certificates → HTTP Strict Transport Security
# Max Age: 31536000 (1 Jahr), includeSubdomains: On, Preload: OnKonfiguration verifizieren
Nach der Konfiguration prüfen Sie mit openssl s_client, ob TLS 1.3 aktiv ist und TLS 1.0/1.1 abgelehnt wird. Der cf-ray-Header bestätigt, dass der Traffic über Cloudflare läuft und TLS an der Edge terminiert wird.
# 1. TLS 1.3 via openssl prüfen
openssl s_client -connect ihre-domain.de:443 -tls1_3 2>&1 | grep -E "Protocol|Cipher"
# Erwartete Ausgabe:
# Protocol : TLSv1.3
# Cipher : TLS_AES_256_GCM_SHA384
# 2. TLS 1.0/1.1 muss abgelehnt werden
openssl s_client -connect ihre-domain.de:443 -tls1 2>&1 | grep "alert"
# Erwartete Ausgabe: alert handshake failure
# 3. Cloudflare-Header prüfen (zeigt CF-Proxy-Status)
curl -sI https://ihre-domain.de | grep -E "cf-ray|server"
# server: cloudflare
# cf-ray: ...Der Scanner prüft TLS-Version, Cipher Suites und Zertifikatskette als Teil der 166 Prüfpunkte — mit konkreten Empfehlungen und Scoring nach Note A+ bis F.
Wie steht Ihre Domain bei TLS-Konfiguration?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Full und Full (Strict) in Cloudflare?
Full verschlüsselt die Verbindung zwischen Cloudflare und Ihrem Origin-Server, validiert aber kein Zertifikat — selbstsignierte Zertifikate werden akzeptiert. Full (Strict) fordert zusätzlich ein gültiges, von einer CA signiertes Zertifikat. Für Produktivumgebungen ist Full (Strict) Pflicht, da Full anfällig für Man-in-the-Middle-Angriffe zwischen Cloudflare und Ihrem Server ist.
Stellt Cloudflare automatisch TLS-Zertifikate aus?
Ja. Cloudflare stellt über Universal SSL kostenlos Zertifikate für Ihre Domain aus — ohne Konfiguration, automatisch erneuert. Edge-Zertifikate werden über die Cloudflare CA ausgestellt und haben eine Gültigkeit von 90 Tagen. Für den Pfad von Cloudflare zu Ihrem Origin empfehlen wir zusätzlich ein Origin Certificate oder ein gültiges Let's Encrypt Zertifikat.
Unterstützt Cloudflare TLS 1.3 und Post-Quantum?
Ja. Cloudflare aktiviert TLS 1.3 für alle Domains standardmäßig und ist einer der ersten CDN-Anbieter, der hybride Post-Quantum-Handshakes (X25519Kyber768) produktiv unterstützt. Seit Ende 2024 sind Post-Quantum-Handshakes für alle Cloudflare-Kunden aktiv.
Was ist 0-RTT und welche Risiken hat es?
0-RTT (Zero Round Trip Time Resumption) ermöglicht es, Daten bereits im ersten Paket des TLS-Handshakes zu senden, wenn eine frühere Session-Verbindung existiert. Das reduziert Latenz erheblich. Das Risiko: 0-RTT-Daten sind anfällig für Replay-Angriffe — ein Angreifer kann eine abgefangene Anfrage erneut abspielen. Aktivieren Sie 0-RTT nur, wenn Ihre Anwendung idempotente GET-Anfragen dominieren.
Was ist Cloudflare Origin Certificate?
Ein Origin Certificate ist ein von Cloudflare ausgestelltes Zertifikat für den Pfad zwischen Cloudflare und Ihrem Origin-Server — kostenlos, bis zu 15 Jahre Gültigkeit. Es gilt nur, wenn Cloudflare als Proxy aktiv ist. Im Gegensatz zu Let's Encrypt braucht es keine ACME-Automatisierung und eignet sich ideal für Server hinter Cloudflare.
Beeinflusst Cloudflare meine TLS-Cipher-Suites?
Ja. Cloudflare verwaltet die Cipher Suites für den Edge-zu-Client-Pfad selbst und wählt automatisch sichere, moderne Suites. Für den Pfad zwischen Cloudflare und Ihrem Origin-Server sind Ihre Server-Cipher-Suites relevant — konfigurieren Sie diese unabhängig nach Best Practices.
Wie teste ich meine TLS-Konfiguration mit Cloudflare?
Nutzen Sie openssl s_client -connect ihre-domain.de:443 -tls1_3 um den TLS-1.3-Support zu prüfen. Der Wolf-Agents Web Security Check prüft zusätzlich Cipher Suites, HSTS-Header und die Zertifikatskette als Teil der 166 Prüfpunkte — mit Scoring nach Note A+ bis F.