Hatte ich mich bisher noch nie beschäftigt, aber sehe ich das richtig, das ein Client auf meinem Server dann (über API) vollen Zugriff auf die DNS der domain hat?
Würde ich eigentlich ungern haben.
Ich habe das u.a. aus diesem Grund zentral in einer VM zuhause laufen (mit "getssl"), wo die Zertifikate dann z.B. über SSH verteilt werden. Auch meine DNSControl Installation läuft dort. Sollte ich die VM mehr als ein Monat nicht mehr ans Netz bekommen, und die Zertifikate dadurch ablaufen, habe ich sowieso ganz andere Probleme...
Statt einer VM zuhause kann man natürlich auch einfach einen kleinen vServer nehmen, der sonst nicht (viel) macht und keine öffentlich erreichbaren Angriffspunkte bietet. Im Endeffekt reduziert das meistens auch den Verwaltungsaufwand, wenn man die Zertifikate zentral an einer Stelle verwaltet und nicht mehr auf zig verschiedenen Systemen.