Как автоматически обновлять сертификаты?

Самый простой способ — Let's Encrypt + certbot с cron. В Go есть пакет autocert из golang.org/x/crypto/acme/autocert — он сам получает и обновляет сертификаты. В Kubernetes используй cert-manager — он работает с Let's Encrypt и другими CA автоматически. Важно: тестируй обновление заранее, ставь мониторинг на срок действия (алерт за 14 дней до expiry) и проверяй, что процесс обновления не ломает текущие соединения.