Avé Laurent,
Merci pour ta réponse bienveillante et apaisée…
Mouarf :)))
Cela dit, tout choix est une question d'arbitrage qui dépend du contexte. Non seulement je ne remets pas en cause ta gestion (ni celle des autres colistiers !) de tes multiples certificats SSL mais je la trouve très bien adaptée à ton cas. Et ce n'est pas un petit bug de LE de temps en temps qui va remettre en cause ton dispositif par rapport aux milliers d'euros que tu économises.
En fait, tout automatisme LE correctement implémenté va réessayer. En 5 ans, j'ai jamais eu de renouvellement foiré. C'est transparent. On s'occupe de rien. Ça juste marche.
Indépendamment, je trouve cela surprenant cette limite de validité à 90 jours pour les certificats LE. Sans parler d'une sollicitation moindre de leurs serveurs, si cela avait été un an, nous n'aurions jamais eu cette discussion.
C'est 90 jours volontairement. Ils auraient posé 30 jours, ça ne m'aurait pas dérangé, bien au contraire. Je préfère du poisson frais à de l'avarié. Un certificat, c'est le même esprit. LE a posé la fraîcheur à 90 jours... En soit, c'est beaucoup plus propre qu'un cert valable un an... Et moins propre qu'un cert valable 30 jours. C'est un compromis. De toute façon, le précédent message a bien précisé mon point de vue sur les certs dont le certificat racine est "quelque part" dans un espace-temps "incontrôlé" :)
Par contre je reste médusé par ceux qui sont capables de repérer des "vunls" à toute vitesse ou de conclure qu'un traitement open source est fiable rien qu'en constatant qu'une "centaine de ko" de code sont bien lisibles ! Pour avoir exploré les sources d'openssh à la recherche de la signification de messages d'erreur inhabituels dans les logs, je n'ai clairement pas eu cette impression.
OpenSSH, t'as pris un bon exemple de simplicité :>>> Dans le cas de LE, il s'agit de l'implémentation du RFC8555 qui reste modeste. Il y a des clients ACME qui sont tous petits. Ici on a prévu de remplacer acme.sh et acmemgr.sh par un package et un utilitaire codés en Ada/Spark (programmation par contrat - https://en.wikipedia.org/wiki/SPARK_(programming_language). Ça fera un sujet qualitatif pour un stagiaire curieux.