Názor k článku Let's Encrypt má šest nových certifikátů, přibude plná podpora ECDSA od Petr Krčmář - Což je samozřejmě logické a jasné už ve...

Což je samozřejmě logické a jasné už ve chvíli, kdy si do TLSA dám klíč z mezilehlého certifikátu autority. Ten má omezenou platnost a autorita ho může kdykoliv vyměnit. Musím pak monitorovat, že se to nestalo a věci se mi nerozbily.

Pinovat mezilehlý klíč (nebo certifikát) má jen samé nevýhody: nechrání před vystavením podvrženého koncového certifikátu stejnou autoritou, klíč nemám pod kontrolou a musím (na rozdíl od self-sugned) posílat celou cestu. Mnohem jednodušší je pro TLSA v poště použít vlastní certifikát s vlastními pravidly.