Была проблема вообще. Её сократили до first use. Для начала неплохо.

Для какого начала? Оно уже сдохло. А некромантия никогда не работает.

Это не костыль, а начало работ над стандартом. На HPKP дело не кончится.

И что же будет дальше? :)

Всё, отключайте tls, скомпрометировано.

TLS вообще никак не связан с CA. Прежде чем что-то пытаться возразить желательно ознакомится с предметом.

Не доитесь, используйте Let's Encrypt.

Lets Encrypt - ничуть не менее коммерческая контора чем остальные. Рыночная стоимость конторы зависит от количества клиентов порой гораздо больше, чем от получаемой прибыли.

Потому что введение всепланетарного блокчейн-реестра всё равно невозможно вот так в один момент, просто по желанию чьей-то левой пятки.

Какой ещё нафиг «блокчейн-реестр» ?

Не вопрос, используйте самоподписанные.

Все нормальные люди, которые мало-мальски заботятся о безопасности клиента именно так и делают. А для хомячков, которым не нравится возится с проверкой и добавлением сертификатов есть продажные CA и браузероклепатели эти CA покрывающие.

Да не вопрос, пиши в конфигах dehydrated BASEDIR='/etc/dehydrated'. По хорошему надо проверить, но похоже что никаких проблем с одной BASEDIR на несколько сертификатов быть не должно.
Мне вот удобно держать все говны относящиеся к одному сайту в одной ветке ФС, что-бы их можно было легко отделить от всего прочего и перенести куда-то

Узбагойся

Главная проблема, в том что, Let's Encrypt приучает часто менять сертификаты. И когда сертификат меняется, то точно сказать, кто это сделал сложно. В случае же когда меняют сертификаты раз в год, то смена сертификата намного раньше времени станет тревожным звоночком для опытного пользователя (lorgoogle Certificate Patrol). Плюс многие обновляторы let's encrypt не используют предыдущий CSR для нового сертификата.

А зачем мониторить изменения сертификата, если можно мониторить изменения публичного ключа. В конечном-то счёте сервер удостоверяется ключём, а не сертификатом.

В том числе мониторится и изменения публичного ключа

Мне кажется логичным в первую очередь образать внимание именно на ключ. А сертификат… да какая разница.
Если ключ неизменен значит либо всё в порядке, либо всё на столько плохо что на сертификат смотреть уже поздно.

Штатный клиент — наркоманское нечто.

Поставил, настроил. Пока не понял, что в нём столь ужасного? В cron сам прописывается. Серты генерит. Настроил проксирование для ACME клиента. Настроил ansible чтоб серты раскидывал. - Пока не могу сказать, что я уверен, что всё как надо автоматизировано без сбоев, но серты сам вроде обновил, если ansible не подведет, должно быть все ОК.

dehydrated тоже работает на wheezy (наверное)

Иногда мне кажется, что при первом изменении в AMCE (а он все ещё в стадии драфта кажется!), все эти поделки могут отвалиться...

Вопрос ещё: можно в LE, получить сертификат на несколько доменных имен, но вот в таком виде:

• cert1: company.com me.company.com
• cert2: company.com you.company.com

То есть, одно и тоже доменное имя, будет использоваться в разных сертификатах. Дадут?

Поставил, настроил. Пока не понял, что в нём столь ужасного?

Тянет за собой venv солидных размеров, посягает на правку конфигов веб-сервера

То есть, одно и тоже доменное имя, будет использоваться в разных сертификатах. Дадут?

Дадут. Хотя не уверен это фича, а не баг. Не хватает возможности получить все сертификаты выданные для определённого домена, а то мало-ли кому они повыписывают сертификаты на мой vasyan.tld
LE меня сейчас запугивает письмами о просрочке сертификатов для боевых доменов. А всё потому-что как-то раз при переезде я решил что некоторые сертификаты будет проще создать по новой, а не переносить старый.

Некропост

Можно сам скрипт?

А то я пользовался certbot и ничего не знал :-)

Если выкинуть специфичные для моей конфигурации вещи то всё сведётся к выполнению dehydrated --cron --config /path/to/config.sh (config.sh это конфиг dehydrated для конкретного сайта) и service nginx reload

s/пользовался/пользуюсь

ок, понятно.

P.S. А что скажешь про acme.sh ?

ХЗ, меня dehydrated всецело устраивает. А этот ещё и предлагают устанавливать в систему через выполнение какого-то скрипта (хотя может он просто кладёт скрипт в /usr/local/bin/) и он вроде пытается что-то делать с nginx/apache

Хостинг с Let's Encrypt сертификатом

Я кстати пользуюсь хостингом «Джино» уже очень давно и у них там год или два назад появился этот сертификат. Сейчас его только и использую. Очень удобно. И он у них автоматически продлевается каждый месяц, даже ни куда в скрипты лезть не надо. Мне только на электронную почту письма приходят «Ваш SSL сертификат автоматически продлён.»