...Apple...
To je kapitola sama pro sebe ... ale jabko (zatim) s privatnima certifikatama funguje. Jen si musis dohledat, co vsechno musi ten certifikat splnovat, a pocitej s tim, ze to tak 2x rocne menej.
Uz jen pridat vlastni CA je totiz akce jak stavba raketoplanu.
Typicky se tomu nelibi nespravnej pocet bitu a moc dlouhla platnost, pripadne jeste nejaky priznaky. A i kdyz to udelas jak chteji, stejne to za 1/2 roku nebude fungovat. Pricemz to plati i pro LE, ostatne byl tu na to tema (zkraceni platnosti) i clanek.
Dost pak zalezi na tom, jak moc velkej vopruz je ty certifikaty vymenovat, v mnoha pripadech se to neda jinak nez rucne, coz je delat castejs nez rocne zcela neakceptovatelny.
Ale ne, Apple Mail (iOS i macOS) jede naprosto v pohodě s IMAP serverem s Let's Encrypt certifikátem. Ani nemá námitky proti prodloužení certifikátu po 2 měsících. Na straně serveru (DoveCot) certifikát aktualizuje posthook skript. Funguje to bezobslužně.
U SMTP serveru taky, vtip je v tom, mít:
"IN TLSA 3 1 1"
(tj. kontroluje se public key, který zůstává, a ne celý certifikát, takže obnovení certifikátu nevede ke změně).
Vlastní CA stejně nemůžete mít kvůli Googlu, který už dávno nedůvěryhodné CA neakceptuje snad ani na SMTP.