Как ротировать сертификаты?

Автоматическая ротация — must have. С Let's Encrypt: certbot renew по крону или autocert в Go (golang.org/x/crypto/acme/autocert) — обновляет автоматически. Для внутренних сервисов: cert-manager в Kubernetes, или HashiCorp Vault PKI engine. Стратегия: выпускай новый сертификат до истечения старого, overlap period для graceful перехода. В Go: tls.Config{GetCertificate} — подгружай свежий сертификат без рестарта. Мониторь expiration (Prometheus + alerting за 14 дней до). Short-lived certs (24h) с авто-обновлением — современный подход.