Vlákno názorů k článku Důvěryhodné HTTPS certifikáty na řádce pomocí nástroje mkcert od cvokk - Osobně to řeším tak, že mám vybrané vývojové...

Osobně to řeším tak, že mám vybrané vývojové subdomény nasměrované na server, kde jsou součástí pravidelné obnovy pomocí Let's Encrypt.
Tytéž domény mám pak u sebe přes /etc/hosts nasměrované na localhost.
Pak jen stačí rsyncnout adresář s certifikáty ze serveru do lokálního adresáře, a můžu vyvíjet lokálně přes https://

Pokud si můžete dovolit ověřit certifikát LetsEncryptem třeba přes dns01 nebo http01 , tak máte velmi pěkné řešení.

Podobnou věc používáme pro wildcard certifikáty pro interní zóny pomocí acme-dns a dns01. Není potřeba ani držet ten HTTP server, stačí DNS záznamy.

Viz: https://www.root.cz/clanky/nastroj-acme-dns-pohodlne-ziskavani-certifikatu-pomoci-dns/

Nicméně nevýhoda certifikátů od LetsEncypt je, že v Certificate Transparency Logu je veřejný záznam o tom, že někdo vygeneroval certifikát, což nemusí být vždy žádoucí.

Pokud chci certifikáty pro nějakou neexistující TLD, tak LetsEncrypt použít nejde. Pokud ale LE použít lze, rozhodně bych se ho držel, souhlasím.

Jen tě s dovolením doplním. Zveřejnění v logu Certificate Transparency je vlastnost všech veřejných certifikačních autorit. Podle tvého komentáře by to mohlo vypadat, že to je jen vlastnost Let's Encrypt, ale tak to není. Pokud prostě chcete mít neveřejný certifikát, musíte si ho ukuchtit u sebe doma bez zapojení některé z veřejných autorit. Všechny veřejné autority dnes všechny vystavené certifikáty zveřejňují.

...vcetne takoveho PostSignum... a taky uz peknych par let...

ano, ten log je naprosto skvělý nástroj, jak získat povědomí o struktuře nějaké organizace. Bohužel to asi ještě hodně vývojářů neví a dá se tak najít velké množství vývojových verzí různých webů, které nemají vyřešené zabezpečení, používají generické přístupové údaje nebo mají zapnuté ladící panely se spoustu zajímavých informací vč. třeba hesel do databáze (takhle jsem se třeba dostal do administrace stránek našeho nového pana prezidenta).

Jak píše Petr, Certificate Transparency log je povinný pro všechny veřejné certifikační autority, které jsou uznávané ve webových prohlížečích.

Stejně tak by neměla žádná uznávaná certifikační autorita vydat certifikát na jméno z neexistující TLD. Certifikační autorita ručí svým podpisem za to, že certifikát vydává oprávněnému vlastníkovi daného doménového jména. U neexistujícího TLD je problém, jak CA dokážete, že tu doménu používáte jen vy a nikdo jiný.