Cloudflare利用時のSSL証明書設定:フル・フル Strict・柔軟の違い
ページ更新日:2026/05/07
CloudflareはCDN兼リバースプロキシサービスです。Cloudflareを通じてサイトを公開する場合、SSL証明書の設定はブラウザ〜Cloudflare間と、Cloudflare〜オリジンサーバー間の 2区間に分けて考える 必要があります。
Cloudflareには「SSL/TLSモード」という設定があり、選択したモードによってオリジンサーバーにSSL証明書が必要かどうかが変わります。
SSL/TLSモードの比較
| モード | ブラウザ〜CF | CF〜オリジン | オリジン証明書の要件 | 備考 |
| オフ(Off) | HTTP | HTTP | 不要 | 暗号化なし(非推奨) |
| 柔軟(Flexible) | HTTPS | HTTP | 不要 | オリジンにSSL証明書不要だが、CF〜オリジン間は平文。セキュリティ上の問題あり |
| フル(Full) | HTTPS | HTTPS | あり(自己署名でも可) | CF〜オリジン間も暗号化されるが証明書の正当性は検証しない |
| フル(Strict) | HTTPS | HTTPS | あり(信頼された認証局発行またはCloudflare Origin CA) | 最もセキュア。証明書の正当性も検証する |
推奨モード:フル(Strict)
セキュリティの観点から フル(Strict)モードを強く推奨します。
「柔軟(Flexible)」モードはオリジンサーバーとの通信が平文(HTTP)のため、Cloudflareとオリジンサーバー間の経路が盗聴される危険があります。
「フル(Strict)」モードにするには、オリジンサーバーに信頼できるSSL証明書をインストールする必要があります。
フル(Strict)モードで使えるSSL証明書
方法1:認証局(CA)から購入した証明書
弊社で販売しているRapidSSL・ジオトラスト・デジサートなどのSSL証明書を Apache・Nginx・IIS にインストールします。
購入済みの有料SSL証明書をお持ちの場合は、Cloudflare経由でも正常に機能します。
Cloudflareのプロキシが有効(オレンジ雲マーク)でも、オリジンサーバーへの接続時に証明書が検証されます。
方法2:Cloudflare Origin CA証明書(無料)
CloudflareダッシュボードからオリジンサーバーにインストールするためのSSL証明書(Cloudflare Origin CA)を無料で発行できます。
この証明書はCloudflareを経由した通信のみで有効(Cloudflareのプロキシが必要)です。Cloudflareを外した場合は信頼されません。
有効期限は最長15年と長いため管理が楽ですが、Cloudflare依存になる点に注意してください。
CloudflareのプロキシとドメインのSSL証明書
Cloudflareのプロキシ(オレンジ雲マーク)が有効な場合、ブラウザには CloudflareのSSL証明書(エッジ証明書) が表示されます。
オリジンサーバーに設定したSSL証明書はブラウザには見えませんが、Cloudflare〜オリジン間のセキュリティに影響します。
「グレー雲マーク(DNSのみ)」の場合はオリジンの証明書が直接ブラウザに表示されます。
よくある設定ミスと対処
| 問題 | 原因と対処 |
| 「リダイレクトが多すぎます」エラー | Cloudflare側がHTTPS→HTTP→HTTPS…と無限ループしている。Cloudflareモードを「柔軟」からフル/Strictに変更するか、オリジンサーバーのHTTPS強制リダイレクト(.htaccessなど)を無効にする |
| オリジンの証明書が期限切れでエラー | フル(Strict)モードでは期限切れ証明書は拒否される。証明書を更新するか、一時的にフル(Full)モードに変更して対処 |
| CloudflareのSSL証明書が表示されている | 正常。プロキシ有効時はCloudflareのエッジ証明書がブラウザに表示される |
📌 関連ページ:
ApacheにSSL証明書をインストール
NginxにSSL証明書をインストール
複数サーバーへの同一SSL証明書インストール(ロードバランサー)