Estoy usando el SSL flexible de CloudFlare:
SSL flexible: no puede configurar el soporte HTTPS en su origen, incluso con un certificado que no es válido para su sitio. Los visitantes serán capaz de acceder a su sitio a través de HTTPS, pero conexiones a su origen se realizará a través de HTTP. Nota: Puede encontrar un bucle de redireccionamiento con algunas configuraciones de origen.
La razón por la que lo estoy usando es simple: no puedo pagar el certificado SSL pagado y el uso de Let's Encrypt no parece bueno, debido a la necesidad de actualizar el certificado cada 90 días.
Tengo varias preocupaciones sobre CloudFlare SSL y el uso de HSTS con cualquier cosa que funcione como SSL flexible de CloudFlare (usuario-cloudflare con HTTPS, cloudflare-myServer con HTTP). ¿Cómo exactamente en casos como este (http-CDN-https) se logró la seguridad con HSTS, o no?
Cualquier explicación y recomendación adicional serían altamente apreciadas.