>>> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
>>> сертификат
>> только смысла в этом не будет никакого.
> Как это не будет ? Выделенный ИПшник стоит не так уж и

банально - раз на одном ip живет куча сайтов с разными сертификатами вместо wildcard/altnames - либо оно там где-то дешифруется на прокси, либо... правильно, shared hosting, и число могущих стырить твои данные уже после дешифровки становится неограничено.

> дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках

у меня <$1, что я делаю не так? Необезличенный с отметкой в райпе еще дешевле, но там, понятно, от /28, не надо мне столько на один ящик, дохлые они у меня, а распределять их нельзя.

> и ВПС-ах где можно за 3 бакса отмазаться разово, но при
> этом свято доверять что в клаудном серваке никто не лазит со
> стороны хостера), а для любого нормального домена надо как миниум 3

я вот побыл тут надысь тем хостером - понадобилось при смене работы забрать все нажитое непосильным трудом. И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.

Ну можно, конечно, бэкап-софтом воспользоваться, через специфический api утащить образы дисков - но тебе понадобится овердофига места (потому что чтобы порыться, образ таки надо иметь в развернутом виде) и овердофига времени и пропускной способности, если ты не за конкретным клиентом приходил, а пытаешься шпионить за всеми (и обломаться об encfs). И да, у этого хостера на дешевом тарифе бэкапы ни разу не предусмотрены, и san тоже - по-моему, я могу спать совершенно спокойно, пока не торгую наркотиками крупным оптом и ядерным оружием с доставкой баллистической ракетой.

> сертификата, на сайт, на емэил сервак, на веб мэил сидящем в
> субдомене

вообще-то для этого достаточно одного, а email-серваку вообще не нужен (к счастию великому, гугль еще не контролирует весь почтовый софт).

> SNI в открытом виде конечно не впечетляет, поэтому и придумали ESNI чтоб

с опозданием на десять лет, ага. Причем надо было, вместо этого, придумать пересогласование протокола с новым сертификатом, апи для этого по сути уже был - вместо этого его как раз срочно выпилили под кудахтанье "это небезопасТно, вдруг там сервер настраивали враги" (кого при этом еще волнует безопасность соединения с таким?), и вместо мелкого исправления впилили громадную, уродливую, неверифицируемую хрень.

> упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров
> не избежать...

выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю, которые заявили что скачивать всякие черные списки и телеметрию отправлять - это ничего, а вот crl это долго, медленно, не приносит гуглю данных о посещаемом сервере, и его надо срочно выпилить.