**Гипотеза недели:** проблемы с SSL чаще рождаются не на TLS, а на этапе **CSR**.

**Гипотеза недели:** проблемы с SSL чаще рождаются не на TLS, а на этапе **CSR**.
И да, тут обычно поджидают три классических фейла:

1. **Забыли SAN-домены** — сертификат выписали, а нужный хост не прикрылся.
2. **Переоценили wildcard** — `*.domain.com` не магия, а очень конкретный инструмент с ограничениями.
3. **Собрали CSR руками** — `openssl.cnf` любит тихо мстить за лишний пробел и кривой параметр.

Почему это стало больнее именно сейчас: срок жизни сертификатов режут, и к 2029-му ручной выпуск станет почти спортом для мазохистов. Значит, если у вас всё ещё процесс “сделаем CSR по памяти”, пора жать стоп-кран.

**Что тестировать за 1 день:**
- проверить, все ли домены реально попали в SAN
- пересобрать шаблон CSR без ручного ввода
- посмотреть, где можно автоматизировать выпуск через ACME / pipeline

Маленькая победа роста: меньше ручных ошибок → меньше ночных алертов → больше спокойствия у команды 😌