Cloudflare использует TLS если включить настройку.
При этом там несколько режимов, самый строгий - проверяет сертификат сайта при хендшейке, но ммжет либо этого не делать, либо вообще не будет TLS между облаком и сайтом. В справке это подробно описано, в том числе как можно невозбранно использовать самоподписанные сертификаты.
Насчет платности сертификатов: есть let's encrypt
https://ru.wikipedia.org/wiki/Let%27s_Encrypt
https://codebeer.ru/sozdaem-ecdsa-sertifikaty-lets-encrypt/
Так что все средства доступны, кроме времени на внедрение всего этого