Cloudflare als DNS, Reverse-Proxy und WAF: SSL-Modi, Cache-Rules, Origin-Certificates

Was ist Cloudflare?

Cloudflare ist ein global verteiltes Netzwerk aus Edge-Servern, das vor einem Origin-Server (z.B. dem Hetzner-Dedicated in Falkenstein) steht und DNS-Auflösung, TLS-Terminierung, Caching, DDoS-Schutz und Web-Application-Firewall in einem Stack bündelt. Die kostenlose Stufe deckt für ein KMU bereits über 90% der Funktionen, die ein eigener Edge-Cluster leisten müsste – DDoS-Mitigation bis zu mehreren Tbit/s ist im Free-Plan enthalten.

Für Schweizer Treuhand- und KMU-Setups übernimmt Cloudflare drei klar abgrenzbare Rollen. Erstens: autoritative DNS mit Anycast-Routing – Auflösungszeiten unter 20 ms weltweit. Zweitens: Reverse-Proxy im „Proxied"-Modus (orange Wolke im Dashboard), der Origin-IPs versteckt und HTTP/3, TLS 1.3, gzip/brotli und automatische Bildkompression liefert. Drittens: WAF mit Managed-Rules gegen OWASP-Top-10, Bot-Score, Rate-Limiting auf Pfad-Ebene und konfigurierbaren Custom-Rules. Mai 2026 verwaltet Cloudflare 9+ Fairlane-Domains aus einer einzigen Konsole, mit Cache-Rules statt der Anfang 2025 abgekündigten Page Rules und mit der seit Februar 2026 stabilen Cache-Reserve-Funktion für langlebigen Origin-Offload.

Warum es zählt

Ohne Edge-Layer hat ein Hetzner-Server zwei messbare Probleme. Erstens: jede Anfrage muss bis nach Falkenstein, was für Besucher aus Zürich rund 20–30 ms Round-Trip-Zeit bedeutet, für Besucher aus Tokio über 250 ms. Zweitens: jeder DDoS-Versuch trifft direkt die Origin-CPU. Beides löst Cloudflare in der gleichen Konfiguration mit einem Klick auf „Proxied" im DNS-Tab.

Konkrete Effekte für einen Schweizer KMU-Betrieb: Latenz für den deutschsprachigen Raum sinkt auf 5–10 ms, weil Edge-PoPs in Zürich, Wien und Frankfurt antworten. Bot-Scraper, die Reddit-Kommentar-Adressen abfischen, werden vor dem Origin gestoppt – die Hetzner-IP taucht in keiner Bot-Liste auf. SSL/TLS-Konfiguration bleibt automatisch auf aktuellem Stand (TLS 1.3, HTTP/3, OCSP-Stapling); kein manuelles Cipher-Tuning nötig. Bei einem Domain-Umzug auf Cloudflare-DNS funktioniert ein Provider-Wechsel des Origin-Servers in 15 Minuten, weil DNS-TTLs unter Cloudflare-Kontrolle stehen und nicht erst Stunden brauchen, um sich auszubreiten.

Wie es funktioniert

Cloudflare hat drei DNS-Record-Modi: Off (kein Cloudflare), DNS-only (graue Wolke – nur DNS), Proxied (orange Wolke – Traffic durch Cloudflare). Der Unterschied ist fundamental und wird oft falsch gesetzt.

DNS-only versus Proxied. DNS-only macht Cloudflare zu einem normalen DNS-Anbieter ohne WAF, ohne Cache, ohne IP-Verbergung. Sinnvoll für SMTP-Records (Mail-Server müssen direkt erreichbar sein), für SSH-Subdomains, für FTP. Proxied ist der Default für alles Web-bezogene und schaltet das gesamte Edge-Feature-Set ein.

SSL/TLS-Modi. Vier Stufen, vom unsicheren bis zum strikten Modus. „Flexible" verschlüsselt Browser-zu-Cloudflare, aber nicht Cloudflare-zu-Origin – das ist eine Klartext-Falle und ist seit 2024 deprecated. „Full" verschlüsselt beidseitig, akzeptiert aber jedes Origin-Cert inkl. selbst-signierter – Mitm-anfällig. „Full (strict)" ist der korrekte Default: verschlüsselt beidseitig und validiert das Origin-Cert. Voraussetzung: das Origin braucht ein gültiges Cert, entweder Lets-Encrypt über Certbot oder ein Cloudflare Origin Certificate.

Cloudflare Origin Certificates. Kostenlos, gültig 15 Jahre, signiert von der Cloudflare-Origin-CA. Wichtig: dieses Cert ist NUR für den Pfad Cloudflare-zu-Origin gültig, nicht im öffentlichen Browser-Trust-Store. Cloudflare-Edge vertraut ihm; ohne Cloudflare ist es nutzlos. Vorteil gegenüber Lets-Encrypt: 15 Jahre Laufzeit statt 90 Tage, kein Renewal-Cron, kein Rate-Limit von ACME.

Cache Rules statt Page Rules. Page Rules wurden im März 2025 deprecated und werden im Laufe 2026 abgeschaltet. Cache Rules sind der direkte Ersatz, mit feingranularerer Logik: Bedingungen können Path, Hostname, Query-Parameter, Header und Cookie-Werte kombinieren. Eine typische Regel für statische Assets: `URI Path ends with .jpg, .png, .webp, .css, .js → Cache eligibility: eligible, Edge TTL: 1 month, Browser TTL: 1 week`. Damit landen Bilder und Bundles für 30 Tage am Edge, nicht beim Origin.

WAF-Managed-Rules. Im Free-Plan: Cloudflare Managed Ruleset (OWASP-Core) plus Free-Managed-Rules. Im Pro-Plan zusätzlich Sensitive-Data-Detection und Bot-Fight-Mode-Plus. Rules können auf Skip, Log, Challenge oder Block gesetzt werden. Empfehlung für KMU: Initial alles auf Log, eine Woche beobachten, dann False-Positives definieren, dann auf Block schalten.

Cloudflare-Onboarding in 7 Schritten

1. 01Domain als Site in Cloudflare anlegen, Nameserver beim Registrar auf die zwei vorgegebenen CF-Nameserver umstellen.
2. 02Alle A/AAAA-Records prüfen: web-bezogene auf Proxied (orange), Mail-Records (MX, SPF, DKIM, DMARC) auf DNS-only (grau).
3. 03SSL/TLS-Modus auf „Full (strict)" setzen. Origin-Server: Cloudflare Origin Certificate generieren ODER bestehendes Lets-Encrypt-Cert prüfen.
4. 04HSTS aktivieren mit 6 Monaten initial – bei stabilem Setup später auf 1 Jahr plus Preload erhöhen.
5. 05Cache Rules anlegen: statische Endungen (.jpg/.png/.webp/.css/.js) mit Edge-TTL 1 Monat. HTML/Dynamic ohne Edge-Cache.
6. 06WAF aktivieren: Managed Ruleset auf Log, eine Woche beobachten, false-positives definieren, danach auf Block.
7. 07DNS-Records in Git versionieren (cloudflare-terraform oder cloudflared) – manuelle UI-Klicks sind nicht reproduzierbar.

Wann Cloudflare einsetzen

Cloudflare ist die richtige Wahl, wenn (a) die Domain öffentlich erreichbar sein muss, (b) die Origin-IP nicht in öffentlichen Listen auftauchen soll und (c) Latenz für Besucher ausserhalb Falkenstein zählt. Das deckt praktisch jeden Marketing-Auftritt und jede Mandanten-Plattform ab.

Konkrete Anwendungsfälle in der Schweizer KMU-Realität: Eine Treuhand-Website mit Lead-Formular – Cloudflare-WAF blockt klassische SQL-Injection und Form-Spam vor dem Origin. Eine Mandanten-Plattform mit Login-Bereich – Rate-Limiting auf /login bei 10 Versuchen pro Minute pro IP. Ein interner n8n-Workflow-Endpunkt – Cloudflare Tunnel statt offener Port, der nicht einmal als geöffnet gescannt werden kann. Ein Image-CDN für Marketing-Assets – Cloudflare Polish komprimiert PNGs automatisch zu WebP und sparte bei Fairlane-Domains 40–60% Bandbreite.

Wann NICHT

Cloudflare ist die falsche Wahl, wenn (a) striktes Schweizer-Hosting auf revDSG-Ebene gefordert ist und keine US-Anbieter im Pfad sein dürfen – Cloudflare ist US-incorporated und fällt damit potenziell unter den CLOUD Act (Bewertung: Transit-Daten sind kurzlebig und verschlüsselt, für hochregulierte Sektoren wie Banking-Backoffice trotzdem riskant), (b) das System eine privatadressierte Origin hat, die niemals über Cloudflare-Edges geroutet werden soll (z.B. interne Bilanz-Datenbank), oder (c) die Anwendung Long-Lived-WebSocket-Streams über 100 Sekunden benötigt und der Free-Plan greift – dann ist Pro oder Enterprise Pflicht.

Weitere Fallen: SSL/TLS-Modus auf „Flexible" zu lassen, weil das Origin noch kein Cert hat – die Folge ist eine Klartext-Verbindung zwischen Cloudflare und Origin, klassische Mitm-Position. „Bypass Cache on Cookie" zu aggressiv konfigurieren, sodass effektiv nichts mehr gecached wird. WAF-Rules auf „Block" stellen, ohne die Log-Phase abzuwarten – wahrscheinlich blockiert das eigene Mandanten-Login mit. Und: Cloudflare Workers für kritische Geschäftslogik einzusetzen, ohne Backup-Strategie für den Fall einer Cloudflare-Störung – Cloudflare hatte 2024 und 2025 je einen Tag globalen Ausfall.

Vor- und Nachteile

Häufige Fragen

Verwandte Themen

Quellen

1. Cloudflare Developers – SSL/TLS modes (Flexible, Full, Full strict) · 2026-04
2. Cloudflare Blog – Page Rules deprecation and Cache Rules migration · 2025-03
3. Cloudflare Developers – Origin CA certificates (15-year) · 2026-02
4. Cloudflare WAF – Managed Rules reference · 2026-05