Odpověď na názor

způsob popisovaný v článku mi připadá jako takový neřízení chaos, kdy se o vše stará sám server. Nechtěl bych to hlídat a spravovat nebo řešit problémy.

U několika klientů (a i pro sebe) jsem implementoval centralizované vydávání a distribuci certifikátů. Jako uložiště používám hashicorp vault (ale lze používat jakákoliv obdobná databáze). Pak mám jeden nebo více serverů, které komunikují s internetem a zajišťují získávání nových certifikátů (či vydávání pokud se jedná o interní), ty se pak ukládají do vault, odkud si je může být sama aplikace získávat nebo deployment z toho dělá připravené balíčky dat pro servery.

Výhoda je, že mi stejný systém funguje pro veřejné weby s veřejnými certifikáty a i pro ty interní s vlastním CA. Je mi jedno, kdo a jaký proces se stará o vydávání certifikátů.

Pokud je aplikace chytrá nebo v kubernetu, tak může dostat rovnou notifikaci o změně a sama si cert aktualizovat, když chytrá není, tak na každém serveru mám systemd službu, která dostává seznam domén pro které má certifikáty stahovat. Pro každou doménu pak mám samostatnou službu, na které může být jakákoliv jiná služba závislá a restartovat se při změně certifikátu (to funguje na takové ty legacy věci docela obstojně). Při deploymentu serveru mu rovnou do image strkám poslední certifikát, aby i úvodní bootstrap byl už v pořádku.