Por que agora?

Nos módulos anteriores você criou DNS records DNS only (nuvem cinza). Isso foi proposital — o Let's Encrypt precisa alcançar a origem direto pra emitir certificado. Agora que todos os apps têm SSL funcional (Traefik EasyPanel + Caddy Brain), ligamos o proxy Cloudflare pra ganhar: CDN, DDoS protection, cache, WAF básico.

Ativar proxy em todos os subdomínios

Cloudflare DNS → clica no ícone nuvem cinza pra virar laranja em cada record:

master7.ghostlab77.com.br → laranja
ops7.ghostlab77.com.br → laranja
n8n.ghostlab77.com.br → laranja
chat.ghostlab77.com.br → laranja
ollama.ghostlab77.com.br → laranja (opcional — pode deixar DNS-only se não quer API pública)
brain.ghostlab77.com.br → laranja

SSL/TLS mode — Full (Strict)

Cloudflare → SSL/TLS → Overview → escolhe Full (strict).

⚠️ Modos SSL Cloudflare:

Off: sem SSL (nunca use)
Flexible: HTTPS browser→CF, HTTP CF→origem (inseguro, pode gerar loops)
Full: HTTPS em toda cadeia, mas aceita certs self-signed
Full (strict): HTTPS + valida cert da origem ✅ — USE ESTE

Always Use HTTPS + HSTS

SSL/TLS → Edge Certificates:

Always Use HTTPS: ON — redirect HTTP→HTTPS global
Automatic HTTPS Rewrites: ON — reescreve links http:// em http→https
Minimum TLS Version: TLS 1.2 (ou 1.3 se sentir brave)
HSTS: ative com max-age 6 meses, includeSubDomains

🚨 HSTS é sticky: uma vez ligado, o browser LEMBRA por 6 meses que seu domínio é HTTPS-only. Se você desativar SSL depois, os visitantes vão ter erro até expirar. Só ligue quando tiver certeza que SSL tá estável.

Page Rules básicas (grátis = 3)

Cloudflare → Rules → Page Rules:

# Rule 1: forçar HTTPS no root
URL: http://ghostlab77.com.br/*
Setting: Always Use HTTPS

# Rule 2: cache agressivo em assets estáticos
URL: *.ghostlab77.com.br/assets/*
Settings:
  - Cache Level: Cache Everything
  - Edge Cache TTL: 1 month

# Rule 3: bypass cache no n8n API
URL: n8n.ghostlab77.com.br/rest/*
Setting: Cache Level: Bypass

Teste final

# Browser local:
curl -sI https://master7.ghostlab77.com.br | head -5
# Deve retornar:
# HTTP/2 200
# server: cloudflare  <-- agora via CF, não mais Caddy direto
# cf-cache-status: HIT (ou DYNAMIC)

# SSL Labs test online:
# https://www.ssllabs.com/ssltest/analyze.html?d=master7.ghostlab77.com.br
# Target: grade A ou A+

✅ CDN + DDoS + SSL Full Strict ativos. Seus apps agora têm: proteção global de edge, cache inteligente, HTTPS forçado, WAF grátis Cloudflare. Grade A na SSL Labs.

Próximo passo

Módulo 08 — Backup Strategy: R2 Cloudflare + rclone + cron + restore drill.

← Módulo 06 Módulo 08 →

Cloudflare+ SSL Full Strict

Por que agora?

Ativar proxy em todos os subdomínios

SSL/TLS mode — Full (Strict)

Always Use HTTPS + HSTS

Page Rules básicas (grátis = 3)

Teste final

Próximo passo

Cloudflare
+ SSL Full Strict