Кот Абсолютный

Вопрос в общем-то к питону особо и не относится, а скорее к "дисциплине программирования" вообще. Когда пишешь часто, много и разные вещи, которые часто забрасываешь (порой вынужденно), то единственным способом не глядеть через полгода на собственную же функцию аки баран на новые ворота является предварение ее комментарием, где написано, что на входе, что на выходе и какие особенности работы.
Это здорово экономит время.

Бесплатных сертификатов на год не бывает. Бесплатные сертификаты либо так или иначе крутятся вокруг LE (sslforfree, zerossl), либо даются при соблюдении кучи условий, которыми обычно является либо "купите у нас что-то" (reg.ru) либо "перейдите к нам и отдайте нам свои данные" (cloudflare, у него еще и сертификат будет с кучей SAN на посторонние домены).

Кому Вы нужны - давать Вам сертификат на год бесплатно?

Потому что это НЕ бэкап. Фактически Вы взяли винт от машины и воткнули его в другую машину. Полностью другую, сверху донизу. Грузитесь в режим восстановления, если есть возможность. А еще лучше -найдите специальные утилиты для преобразования машины в ВМ (которые Вам корректно все перенесут).

Ну, Ярославище, американские законы далеко не всегда можно найти в открытом доступе - хайли лайкли знаете... А вот CRL - можно проверить, у нас не так уж и много крупных CA - thawte, comodo, globalsign... Вряд ли там был сертификат от LE :)

UPD: Нифига не получится. В CRL есть только серийник и код отзыва :) Чел, у которого сертификат, конечно сможет проверить - а другие скорее всего нет :)

UPD2 (большое):
Ну, меня вопрос заинтересовал, и вот какие у меня соображения.

Статья, разумеется, фуфел. У сайта fsb.ru, как и у kremlin.ru никогда не было сертификатов, проверить это можно у всезнающего гугла - сервис проверки. Сервис не находит ничего - то есть ничего не было. То есть, я так полагаю, все эти "35 отозванных сертификатов" на самом деле никогда не существовали, а упомянутые сайты никогда не имели сертификатов.
То есть, получается, что американец пиZDит... как и полагается сейчас настоящему американцу :) Но тем не менее, он как ни странно - прав!

Потому что проблема реально существует. Берем, например, яндекс.

Сертификат выдан внутренним CA Yandex:

CN = Yandex CA
OU = Yandex Certification Authority
O = Yandex LLC
C = RU

...которое ессно не корневой СA, а его сертификат выдан:

CN = Certum Trusted Network CA
OU = Certum Certification Authority
O = Unizeto Technologies S.A.
C = PL

... которое - внезапно - находится (тут музыка, туш, чернила и клей) - в Польше!

Issuer:
    CN=Certum CA,O=U­nizeto Sp. z o.o­.,C=PL
    CN=Certum Truste­d Network CA,OU=­Certum Certifica­tion Authority,O­=Unizeto Technol­ogies S.A.,C=PL
Serial:
    1961572933532405­2664386507102252­1293608
    279744
    4772842536756395­3368335862826026­879003
    9458922105397704­9342468936609165­78283
Not valid before:
    2008-10-22 12:07­:37 UTC
Not valid after:
    2027-06-10 10:46­:39 UTC
    2029-12-31 12:07­:37 UTC
    2025-12-30 23:59­:59 UTC
Key size:
    2048
Signature Algorithm:
    sha256WithRSAEnc­ryption
    sha1WithRSAEncry­ption

basicConstraints:
    CA:TRUE
subjectKeyIdentifier:
    08:76:CD:CB:07:F­F:24:F6:C5:CD:ED­:BB:90:BC:E2:84:­37:46:75:F7
authorityKeyIdentifier:
    DirName:/C=PL/O=­Unizeto Sp. z o.­o./CN=Certum CA­serial:01:00:20
keyUsage:
    Certificate Sign­, CRL Sign
crlDistributionPoints:
    Full Name:­ URI:http://crl­.certum.pl/ca.cr­l
authorityInfoAccess:
    OCSP - URI:http:­//subca.ocsp-cer­tum.com­CA Issuers - URI­:http://reposito­ry.certum.pl/ca.­cer
certificatePolicies:
    Policy: X509v3 A­ny Policy­ CPS: http://ww­w.certum.pl/CPS
    Policy: X509v3 A­ny Policy­ CPS: https://w­ww.certum.pl/CPS

(пруф - вот)

То есть, одним движением мышки Certum отзывает сертификат субцентра яндекса - и все сертификаты, выпущенные им, превращаются... в тыкву!

Есть от чего с ума сойти...

Ну и еще момент. Имея сертификат сайта - можно достаточно просто проверить факт его отозванности. Вот статья на хабре, она короткая, но полезные команды там есть.