Eu tenho um servidor Apache privado, acessível somente da minha LAN na porta 443, com um certificado StartSSL.
Desde que o Firefox 51 foi lançado, não consigo mais me conectar a ele como o certificado raiz StartSSL foi removido do truststore .
Eu considerei migrar para o Let's Encrypt, mas isso parece exigir um servidor HTTP voltado para o público. É possível usar Vamos Criptografar na minha situação?
Eu preferiria evitar pagar por um certificado SSL, se possível.
Se você controlar o DNS para o domínio, poderá usar o método de desafio dns-01 para comprovar a propriedade criando um registro TXT.
Isso pode ser feito manualmente ou automatizado. Eu acho que até mesmo o cliente oficial certbot agora suporta dns-01.
Um rápido Google mostra vários tutoriais usando vários scripts e clientes, então não vou repetir todos eles aqui. Este automatiza especificamente os certificados de intranet.
O cliente certbot tem capacidade de fazer um desafio manual de DNS. A resposta (atualmente a segunda mais popular) encontrada nesta pergunta Como usar Vamos Criptografar a validação de desafio de DNS? tem todos os detalhes, e eu apenas testei como funcionando.
Basicamente, você executa este comando e segue as instruções:
certbot -d site.your.dom.ain --manual --preferred-challenges dns certonly