Eigentlich gibt es seit Jahren (oder Jahrzehnten?) eine Lösung für das Problem: TLSA/DANE/IPSEC. Warum das keine will, verstehe ich nicht.

Weil es das Geschäft der Zertifizierungsstellen kaputtmacht. Und nix ist leichter verdientes Geld, wie halbscharige Zertifikate basteln.

Ich meinte natürlich s/IPSEC/DNSSEC/.

Verdient man denn wirklich noch was mit Zertifikaten? Ein Wildcard für ein Jahr bekommt man für ca. 50 Euro, glaube ich.

Ich hab hier eher Preise von 99-169 EUR/Jahr auf dem Tisch. Und MultiDomain, extended validation 340 EUR/Jahr. Ein popliges EV Zertfikat Domain + www.Domain rund 140 EUR.

Geht bei irgendwelchen Discounter vielleicht auch billiger.

Ich bin einigermaßen überrascht:

Let’s Encrypt is used by 5.3% of all the websites

da hätte ich /weit/ mehr für LE vermutet.
Wahrscheinlich ist das so, weil Cloudflare & Co. automatisch Zertifikate ausstellen.
Ist doch noch deutlich zu billig.
Andererseits: Ohne TLSA hat man immerhin das kuschlige Gefühl, daß jemand mit Ahnung ein Zertifikat ausgestellt hat. Bei selbstsignierten wäre ich mir da nicht so sicher.

Let’s Encrypt is used by 5.9% of all the websites whose SSL certificate authority we know.
Let’s Encrypt is used by 4.0% of all the websites whose SSL certificate authority we know and that rank in the top 1,000,000.

Die Top 1.000.000 dürften größtenteils größere Unternehmen sein. Die haben's nicht so mit LE.

Hab ja auch solche Kunden.

und Statistiken fälscht man eh am besten selber.

https://letsencrypt.org/stats/

https://www.slintel.com/tech/ssl-certificate/lets-encrypt-market-share

LE 0.15% market share

Bei LE finde ich den Teil "kostenlos" für Privatpersonen gut, für Firmen dürfte es gerne was kosten (das würde aber wahrscheinlich eine erhebliche Bürokratie auf Seiten LE erfordern, was sich finanziell vielleicht sogar negativ auswirken könnte).

Für mich auch in der Firma ist der geile Teil ACME, und da ist TE eben der einzige Anbieter.