CSR ломают не TLS. Ломает его человеческая самоуверенность на этапе выпуска.

CSR ломают не TLS. Ломает его человеческая самоуверенность на этапе выпуска.

Самая частая подстава — SAN. Кто-то делает CSR на `domain.com`, а потом удивляется, почему `www`, `api` и ещё три поддомена не покрыты. Потому что wildcard — не волшебная палочка, а костыль с ограничениями: `*.domain.com` не закроет `a.b.domain.com`, не заменит SAN и не спасёт, если вы в CSR руками забыли нужные хосты.

Вторая классика — ручной `openssl.cnf`. Один кривой `subjectAltName`, одна лишняя строка, одно забытое значение — и сертификат уже не тот, что нужен. Дальше начинается любимый жанр: «у нас всё работало, пока не пришло продление».

И вот тут кейс становится грязнее. К 2029 году срок жизни SSL хотят ужать до 47 дней. Ручной выпуск при таком цикле — это не процесс, а лотерея с регулярными падениями. Без автоматизации CSR, SAN и продления превращаются в бесконечный пожар 🚒

Вывод простой: если сертификаты до сих пор делаются “на коленке”, у вас не инфраструктура, а ручной линк-спам, только в TLS-версии.