Klar war die Frist etwas knapp. Aber das ist halt allgemeinen Richtlinien geschuldet, die durchaus sinnvoll sind. Und einem Skript mal eben einen weiteren Parameter hinzuzufuegen, sollte eigentlich keinen Admin ueberfordern. Zumindest keinen, der irgendwas mit der Absicherung von Verbindungen zu tun hat :-) Zumal LE den Parameter auch noch ausdruecklich genannt hat in seiner Warnung per Email vor drei Tagen. Insofern finde ich das Vorgehen von LE wirklich gut. Die generelle Sinnhaftigkeit solcher oeffentlichen CAs will ich jetzt nicht hinterfragen. Aber wenn die sich halbwegs an ihre Richtlinien halten, ist es fuer die meisten Anwendungsfaelle sicher ein akzeptables System.
Gruselig finde ich aber, dass mich kein Browser aktuell vor einem betroffenen Zertifikat warnt. Habe extra eins nicht erneuert, um das real-life mal testen zu koennen. Schliesslich wird der durchschnittliche Anwender sich nicht erst eine Shell oeffnen, um ein Zertifikat zu ueberpruefen, bevor er es im Browser akzeptiert.