Em última análise, para os clientes, a melhor segurança também tem fim para o SSL. Parece que você pode obter 'Full-SSL' apenas em sua conta Pro, e você pode fazê-lo com certificados auto-assinados em seu próprio servidor pessoal, se quiser.
Para que um invasor intercepte o tráfego enquanto usa seu 'Flexible-SSL' (SSL somente entre clientes e Cloudflare), esse invasor precisa estar no meio do Cloudflare e de seu servidor. O lugar mais fácil para isso também é mais provável do que não em sua rede local usando uma técnica MITM como envenenamento arp ou cheirando o tráfego direto do fio se eles tiverem acesso a um hub ou alternar com um modo de monitor.
É razoável esperar que um invasor não consiga MITM ou sniff conexões entre seu ISP e o Cloudflare, a menos que seu invasor seja um dos ISPs ou um maior ator de estado (como a NSA).
No mínimo, se você for usar qualquer SSL, também envie um certificado autoassinado e abra a porta 443 em seu servidor da Web para que as informações não passem pelo texto sem formatação. Não sei se o cloudflare está atento a alterações no certificado, mas no mínimo evitará farejar o tráfego e forçar o invasor a usar um ataque mais ruidoso, mais agressivo e potencialmente fácil de detectar.
Editar: A única coisa que os níveis comercial e empresarial de seus serviços fornecem a você em relação ao SSL é a possibilidade de você também fazer o upload do seu próprio certificado SSL personalizado que será voltado para os clientes. Por exemplo, se você quisesse um certificado de validação estendido.