Weniger Komplexität, es wird kein Dienst nach aussen geöffnet, keine Abhängigkeiten ausser den Standard-Userland-Tools, einfacher.
Soweit ich das jetzt noch weiß hat auch letsencrypt / certbot nur ein paar Pythonlibs nachgezogen, keinen Dienst geöffnet. Https auf Port 443 war schon offen - sonst hätte ich auch am Router, respektive der Firewall was tun müssen. Und nmap/fopen sagen mir auch was wie "Nichts Neues in Westen" (Das Ding steht doch tatsächlich westlich von mir...)
Naja. Und für mich war es, abgesehen von einer Panne mit dem Update-Skript (die Sache mit dem '--agree-tos' übersehen), auch "einfach".
Aber "He!" - es gibt da eine ganze Menge Clients und warum sollte der von mir benutzte der "einzig wahre" sein? Nur weil ich mich als "Frühstarter" für den damals einzig verfügbaren entschied muss der ja nicht der beste sein...