Самая дорогая ошибка в SSL — не на этапе TLS, а в момент, когда ты ещё только собираешь CSR.

Самая дорогая ошибка в SSL — не на этапе TLS, а в момент, когда ты ещё только собираешь CSR.

Я видел это не раз: забыли SAN на один поддомен — и потом ловят простои, перевыпуск, лишние часы на саппорт. Wildcard тоже часто понимают неправильно: `*.site.com` не покрывает `a.b.site.com`, и это всплывает уже в проде.

Проблема в том, что ручной выпуск сертификатов ещё кое-как терпим при длинных сроках. Но когда рынок реально доедет до 47 дней к 2029-му, ручной процесс станет узким горлышком 📉
С такой частотой обновлений ошибки в `openssl.cnf`, пропущенные SAN и забытые домены превращаются не в «мелкий косяк», а в прямую потерю доступности и денег.

Что обычно выживает:
- автоген CSR вместо ручной сборки
- контроль SAN до выпуска, а не после
- нормальная инвентаризация доменов и поддоменов
- автоматический ротационный выпуск и продление

Инсайд простой: ручной SSL — это уже не безопасность, а операционный риск.