有一个问题：Heroku和Cloudflare之间不安全。

• 它可以使用"灵活的SSL"——Heroku和CF之间的未加密HTTP。我们不希望这样
• 它还可以使用"完全SSL"——Heroku和CF之间的HTTPS，但不需要CF验证证书。Heroku出示了*.herokuapp.com证书，CF很高兴。不幸的是，处于Heroku和CF中间的人可以提交一个自签名的snakeoil.co.mordor证书，CF也会同样高兴（用户无法判断，他们只看到CF的证书）！CloudFlare博客文章Introducing Strict SSL的Full SSL部分对此进行了说明
• 但是"完全SSL（严格）"不起作用，因为CF希望Heroku提供yourdomain.com证书，并给出错误页面：-（
  [你当然可以自己获得这样的证书，并向Heroku支付将其提供给CF的费用，但这又回到了原点……你确实获得了CDN的好处，但它不是"Heroku上完全免费的SSL"。]CloudFlare文章通过HTTPS配置CloudFlare和Heroku中讨论了这种情况

那么，完全SSL的这种设置可以接受吗？有人可能会说，CF和Heroku之间的链接可能"在主干网中，在云之上"，对于活跃的攻击者来说相对难以控制，因此通信显然比根本没有TLS更安全。但它不是端到端安全的，而且你给用户一种通常与HTTPS和绿色锁图标相关的错误的安全感，有些人会说这比根本没有TLS更糟糕。。。[参见意见https://news.ycombinator.com/item?id=8382335]

截至2015年2月，我在CF中没有看到配置Full Strict模式以期望在其他域上获得证书的选项。我不知道CF为什么不允许这样做，这在技术上显然是可行的。

这确实和我设置的一样有效。问题是CloudFlare花了几天时间才发布他们的Unlimited SSL。一旦它在您的CloudFlare SSL设置下显示"SSL活动"，它就会工作。

要使顶点域工作，您可能需要使用支持ALIAS记录的DNS提供商，Cloudflare也可以进行DNS，并且可能会工作。此处列出了更多提供商：https://devcenter.heroku.com/articles/custom-domains#root-域

要实现这一点，您需要在Cloudflare上为您的域创建一个页面规则。我的看起来像这样：

URL Pattern: my-domain.co/*
Forwarding to: https://www.my-domain.co/$1

从那里，你可以在www上使用CNAME指向my-domain.herokuapp.com.

Cloudflare（和大多数其他DNS提供商）不允许根域的CNAME记录。仅适用于子域。www是一个子域，所以你可以强制所有流量到www，并将其命名为heroku。