NAI, ну и пусть выпускает :) Вам-то надо, чтобы сайт, помимо CF, работал ещё и напрямую из локальной сети - поэтому я и предлагаю решения, когда сертификатом управляете вы сами.
Какой он будет, этот сертификат - выпущенный вашим локальным УЦ или Letsencrypt - дело вкуса и обстоятальств, оба варианта жизнеспособны.
Выпуск сертификата к тому, кто обслуживает домен, прямого отношения не имеет. Если вопрос в подтверждении домена - подойдёт любой вариант, хоть HTTP, хоть DNS.
dmitri_kotov_PhD, поставить отдачу заглушку с веб-сервера - если поможет, значит дело в целом в РНР. Поставить РНР-заглушку вместо настоящего скрипта - если поможет, значит дело в коде. Включить slow-логи РНР.
Довольный Айтишникъ, это исключения, когда организация - колл-центр в офисе без удалёнки. Как только появляются пользователи на удалёнке - появляются личные девайсы и пачка макбуков (в первую очередь у менеджмента). Им расскажите, что для разблокировки аккаунта им с Кипра придётся приехать в Чертаново и дойти до рабочего компа :)
Антон Пащенко, а терминировать сертификаты в самой дали - зачем, если у вас есть единая точка входа в виде nginx посередине? Хотите посадить все сайты на один адрес - пожалуйста, для этого SNI и существует.
Как связаны телефония и nginx - не представляю.
Инструменты должны подходить к задаче, а не натягиваться на глобус.
Какой он будет, этот сертификат - выпущенный вашим локальным УЦ или Letsencrypt - дело вкуса и обстоятальств, оба варианта жизнеспособны.