Fragen? Antworten! Siehe auch: Alternativlos
Let's encrypt funktioniert so, dass man vorher sagen muss, welche spezifischen Namen man sichern will, und die kontaktiert der dann automatisiert. Es gibt eine spezielle Zertifikatsart namens Wildcard-Zertifikat, das gilt dann für *.example.com. Nun hätte man das mit dem bestehenden Protokoll schon irgendwie abdecken können. Beispielsweise hätte der Server einfach, sagen wir mal, drei zufällige Hostnamen durchprobiert. Aber das ist nicht der Weg, den die gegangen sind. Der jetzt tatsächlich umgesetzte Weg für Wildcard-Zertifikate geht über DNS.
Ich persönlich hatte jetzt keinen echten Bedarf für sowas, daher hab ich bei DNS spontan die Lust verloren, mich weiter damit zu beschäftigen. Aber mein Kumpel Erdgeist hat sich das mal angeguckt und tagelang rumgemeckert, wie schlimm das alles ist. Ich meinte dann irgendwann: Schreib das doch mal auf, dann verlinke ich das. Tat er, und dies ist die versprochene Verlinkung :-)
Ein Teil des Problems ist, dass Erdgeist (wie ich übrigens auch) auf tinydns als DNS-Server besteht. Aber er mochte nicht auch die daemontools installieren sondern wollte das in sein BSD-System schön integrieren. Naja, lest selbst. :)