Názory k článku
Let's Encrypt začal používat nový mezilehlý certifikát R3

Ten závěr je trochu zavádějící, ne?
TLSA musím změnit při změně certifikátu, ale autorita s tím nemá nic společného. V TLSA záznamu mám hash buď veřejného klíče nebo celého certifikátu a to si protistrana ověřuje.
Na to měna mezilehlé autority nic nemění.

Záleží právě na tom, jaký certifikát je tam zapinován. Může tam být i mezilehlý certifikát autority, kterou používám. V takovém případě současná změna vyžaduje zásah. Dávat tam koncový certifikát je nepraktické, protože ten se mění každé dva až tři měsíce. Nejjednodušší je dát tam otisk veřejného klíče, ten se v čase obvykle nemění.

Nejsme ve sporu - otisk certifikátu je v TLSA výslovně nedoporučován (TLSA 3 0 1). Drobná potíž je, že acme standardně pokaždé generuje nový privátní klíč i CSR, musí se mu říct, aby to nedělal (pro acme.sh option --csr) a pak použí TSLA 3 1 1 (otisk veřejného klíče).
I tak by to ale měl renew hook kontrolovat a při změně TLSA neinstalovat nový certifikát a upozornit admina.
Když tohle člověk vidí, napadne ho, jestli by nebylo lepší do TLSA dát self-signed certifikát, nebo mít vlastní CA.
No, nebylo: minimálně vám pak nebude fungovat propojení gmailu s vaším serverem. Tam se TLSA nebere v potaz, od loňského podzimu se vyžaduje certifikát od důvěryhodné CA.