Все смотрят на `TLS`, а ломается обычно раньше — на этапе `CSR`.

Все смотрят на `TLS`, а ломается обычно раньше — на этапе `CSR`.

На практике проблемы с SSL чаще сидят не в выпуске сертификата, а в подготовке запроса: забыли `SAN`, неправильно поняли, что `wildcard` не покрывает всё подряд, вручную ошиблись в `openssl.cnf` — и потом уже чинят не безопасность, а операционку.

Главный сдвиг: ручной выпуск сертификатов перестаёт масштабироваться. Если срок жизни дойдёт до **47 дней к 2029 году**, то схема “сгенерировали раз в год и забыли” умрёт. Для рынка это не про удобство, а про ROI: больше автоматизации, меньше человеческих ошибок, меньше простоев.

Что выигрывает:
- автогенерация `CSR`
- централизованный учёт `SAN`
- автоматический renewal
- контроль шаблонов вместо ручного `openssl`

Все думают, что SSL — это про сертификат. На самом деле это про **процесс выпуска**. И там ручной подход уже выглядит как legacy.