"<i>Webservery nemají vyřešený deploy před vystavením prvního certifikátu. Nejprve se musí rozeběhnout web bez TLS (nebo s nevalidním certifikátem), pak proběhne ověření. Teprve pak je možné webserver přehodit na správný certifikát (případně dokonfigurovat). Automatizovat to lze pouze nějakým config management nástrojem. Brr, stačí malá chyba, a webserver se nenatáhne vůbec.</i>"
Certifikát můžeš ověřovat i přes DNS, pak takovéhle problémy nehrozí.