Le client Let's Encrypt de l'EFF (l'officiel, donc) est plutôt bien fait, mais je trouve qu'une documentation un peu plus claire n'aurait pas été un mal. Bref, pour ma part, j'ai procédé à l'installation comme ça:
$ mkdir /opt/certbot
$ cd /opt/certbot/
$ wget https://dl.eff.org/certbot-auto
$ chmod a+x certbot-auto
$ ./certbot-auto version
$ ./certbot-auto --apache -d mondomaine.com,www.mondomaine.com --email info@mondomaine.com --rsa-key-size 4096
Et voilà, certificats générés pour mondomaine.com en RSA-4096 :)
Pour renouveler, une petite règle cron:
$ /opt/certbot/certbot-auto certonly --apache -n -d mondomaine.com,www.mondomaine.com --email info@mondomaine.com --rsa-key-size 4096
Et si vous ne voulez pas vous embêter avec tous ces paramètres, un fichier de configuration peut être fourni avec le flag -c (voir ici: https://certbot.eff.org/docs/using.html#configuration-file)
Comme sebsauvage l'avait déjà fait remarquer, les navigateurs principaux du marché sont livrés avec des certificats pré-installés pour éviter de faire des alertes de sécurité sur n'importe quel certificat SSL publié. Mais voilà, lorsqu'un certificat racine qui a la confiance des utilisateurs est utilisé pour détourner le trafic sécurisé d'un site par un Etat, ça devient vite moins intéressant, pas vrai ?
Création d'un certificat SSL avec OpenSSL pour utilisation avec Apache