> то есть внутри одного контейнера (напомню еще разок - вся затея докера
> НЕ была предназначена для такого в принципе) - ок, изоляция не нарушена?

Сертификат сервера - часть его рабочих данных. Так что по идее нет.

> Лучше бы конечно вообще затолкать эту фичу в сам веб-сервер,
> там ей самое место, как у некоторых уже и сделано?

Тоже вариант. Потому что см. выше.

> одноразовые ключи, раскиданные где попало, сертификаты сроком годности неделя, acme, dv,
> в порядке убывания масштабов п-ца - безусловно являются громадным полем для дыр.

- Радио украдено, двигателя нету...
- Ну тогда и колеса тебе ни к чему! (с) анекдот.

> например, это может быть апдейтер не только его сертификатов.

Это какое-то очень жесткое допущение насчет конфигураций и менеджмента оных. Может иметь что-то общее с реалиями, может не иметь. Случаи бывают разные.

> обычные, типовые для контейнеров. Независимость начинки апдейтера сертификатов от начинки
> серверного (вон белки-истерички бьются об пол - ТАААМ ПИИТОООН!),

Питон - отличный вариант сломать контейнер при миграции. Так что питон с этой точки зрения редкая гадость. И не только в апдейтере сертификата, а вообще везде. Ну может кроме случая когда это таки полная операционка и скрипты из репо, так что майнтайнеры в лучшем случае все же согласуют этот кал. Или вышибут пакет с калом как неподдерживаемый, как вариант.

> возможность обновлять (или не обновлять) только того, кто на самом деле нужен (питонов,
> к примеру, таки развелось излишне много несовместимых), минимизация рисков.

Я и минимизировал риски - экстерминатусом питонов к чертовой бабушке.

> причин использовать фронтенд (только ему и нужен настоящий сертификат) внутри контейнера.

Очень не айс если из-за бага или кривой конфигурации фронтэнда уносят еще и какую-нибудь базу форума, вместе с почтой или чем там еще.

> убей себя - ты профнепригоден.

Ты точно уверен что это я?

> А у меня - нет, не сделает.

Ну так ты и пользуйся, флаг в руки.

> не перестает. Но контейнер не является хреновой подделкой под виртуальную машину,

Не согласен. В одной из ипостасей является. В свое время у || на этом даже был нефиговый бизнес. Не знаю как у них ща дела, они своими внемайнлайновыми вып^W кернелами всех заманали, опять же, но по крайней мере изначально пипл хавал.

> и в свободном вакууме не функционирует - это просто дополнительная изоляция вокруг
> приложения. By design рассчитанная на работу в системе, а не в пустоте.

Ниоткуда не следует - один из вариантов этого самого бутануть юзермод как в системе. Это кстати позволяет приволочь какой-нибудь питоногадости ее любимую версию корма вместе с ней. И даже более того - запустить 5 разных ипостасей гадости с 5 разными питонами, не сойдя с ума при попытках это менеджить. Потому что это 5 разных контейнеров со своим окружением.