В самой аккаунт-панели CloudFlare есть только четырёхпозиционный переключатель Off/Flexible/Full/Strict, где Strict — это когда валидными сертификатами будут только те, что подписаны общепринятыми доверенными CA + CloudFlare Origin CA.
По крайней мере, в бесплатном плане, никаких других опций по управлению доверием к сертификатам там нет.
Более того, их SSL termination point игнорирует заголовки типа HPKP, которыми, в теории, можно было бы указать SHA-256 пин Origin-сертификата, чтобы только он был доверенным.
Но на практике, до этого заголовка дело не доходит и валидность сертификата определяется на стадии TLS-хендшейка.
В самой аккаунт-панели CloudFlare есть только четырёхпозиционный переключатель Off/Flexible/Full/Strict, где Strict — это когда валидными сертификатами будут только те, что подписаны общепринятыми доверенными CA + CloudFlare Origin CA.
По крайней мере, в бесплатном плане, никаких других опций по управлению доверием к сертификатам там нет.
Более того, их SSL termination point игнорирует заголовки типа HPKP, которыми, в теории, можно было бы указать SHA-256 пин Origin-сертификата, чтобы только он был доверенным.
Но на практике, до этого заголовка дело не доходит и валидность сертификата определяется на стадии TLS-хендшейка.