Когда у вас все по http, то CF проксирует ваши данные, подставляя свой сертификат. С точки зрения приватности и безопасности это неправильно, потому что между вашим сервисом и CF трафик идет нешифрованный, поэтому, чисто теоретически, они могут перехватить (сохранить, модифицировать) любые данные пользователя, либо ваши.