TL/DR: Auf vielfachen Wunsch einer einzelnen Person, habe ich jetzt doch mal meine wichtigeren Dienste von selbst-signiertem HTTPS auf ein Letsencrypt-signiertes umgestellt.

Warum bisher nicht?

Mein bisheriges Argument dagegen war immer dass es ein paar weitere Ringe sind durch die ich hüpfen muss und es mir persönlich keinen Vorteil bringt.

Im Gegenteil, die Sicherheit wird eher sogar geringer wenn mir $tool sagt “das ist sicher” - im Vergleich zu einer Situation in der ich auf jedem Gerät manuell meine Signaturen vergleichen und importieren würde.

Aber warum dann doch?

Wenn ich ehrlich bin, war das tatsächliche Hauptargument ja weniger Sicherheit, als vielmehr persönliche Faulheit - und das ist für sich genommen nur ein mäßig gutes, solches.

Mit einem Zertifikat das per default den Leuten erstmal als “sicher” angezeigt wird, kann ich Seiten auf HTTPS-defaulten lassen und jegliche Kommunikation erstmal standardmäßig sicherer machen. - Es mag nicht relevant oder interessant sein was jemand an Blogartikeln von g33ky.de abruft, aber je höher der Prozentsatz an verschlüsseltem Traffic ist, desto besser.

Blogs und änliches auf der Kiste tun das also jetzt.

Außerdem stieg die Zahl der Projekte auf diesem Server in den letzten Wochen stetig - mehr Dinge die andere interessieren könnten, bedeuten auch mehr Dinge bei denen Sicherheit relevant sein könnte.

Und ganz obendrauf ist eines der Projekte - zufälligerweise wechselte ich 1-2 Wochen VOR dem Kauf von GitHub durch Microsoft zu Gitea.io (einfacher kann es kaum sein solch einen Dienst selbst zu betreiben), alles was ich privat mit Code mache, liegt jetzt auf git.g33ky.de

Was fehlt noch?

Ich muss mir noch ‘nen Cronjob anlegen der die Zertifikate automagisch erneuert.

Und ein paar meiner Subdomains sind noch nicht drin - ich muss mir meine NGinx-Config mal noch so anpassen dass auf jedem Host /.well-known/ ins selbe Verzeichnis gemappt wird und dann kann ich mit einem Aufruf alle NGinx-Configs parsen lassen und für alle Hosts Einträge durchrödeln lassen.