@TCM: Also du würdest quasi noch eine dritte Instanz dazwischen schalten?
- Webserver User mit private key und public key chain
- Let's Encrypt User mit Account Key und CSR für ACME/Netzkommunikation mit LE-Server
- Let's Encrypt User mit Private Domain Key um den CSR zu erstellen
Ich denke dass bei Let's Encrypt eben dieser Account Key das eigentliche große Thema ist und da kann auch der Web Server im besten Fall nicht drauf zugreifen. Durch das automatische regelmäßige austauschen sind kompromittierte Keys auch schneller wieder weg. Das halte ich für einen großen Gewinn.
Zum Thema "Alle Clients machen im Endeffekt das Selbe": Ja, vor allem, wenn man sich nur das ACME-Protokoll ansieht. Das Shell Script finde ich recht gut weil ich es ziemlich komfortabel finde und ich weniger Abhängigkeiten haben, also gar kein Python, was vielleicht für denen einen oder anderen interessant ist.
Auch denke ich, dass es gut ist, dass es minimalistischere simplere Implementierungen gibt, weil man damit Code Reviews erleichtertet. Sowas wie acme_tiny kann auch jemand ohne große Programmierkenntnisse zumindest grundsätzlich verstehen. Der offizielle Client ist ja mehr für das Projekt-Ziel, dass wirklich jeder seine Website auf HTTPS umstellt, quasi ohne Aufwand zu haben. Auch wenn ich da sowas wie
Caddy fast netter finde für Leute, die eigentlich keine Admins sind.
Ja, ich weiß. Vielleicht keine gute Idee, das als nicht-Admin zu machen, aber die Vorstellung, dass jeder und jede, der oder die einen Shop betreiben will oder ein Blog, etc. betrieben will einen kompetenten Admin hat ist geht einfach an der gegewärtigen Realität vorbei und rein persönlich finde ich es ganz gut, wenn das ganze Web nicht nur aus Facebook, eBay, YouTube, Cloud und Co. besteht.
Ich habe auch die Hoffnung, dass Let's Encrypt und ACME sich in positive Richtung weiter entwickeln.