IMHO: Sim, o LE está pronto para produção.
SMTP
O Letsencrypt funciona muito bem para as comunicações do Mutual-TLS entre servidores de correio. Muitos servidores suportam certificados TLS Oportunistas com certificados Auto-assinados, em casos raros, você encontrará um MTA que requer conexões TLS protegidas publicamente ou protegidas por DANE.
Eu uso LE Certs em todos os meus servidores de postfix, e checktls.com me dá todas as luzes verdes!
[000.100]Connectedtoserver[000.405]<--220vegas.localdomainESMTPPostfix[000.405]Weareallowedtoconnect[000.406]-->EHLOchecktls.com[000.500]<--250-vegas.localdomain250-PIPELINING250-SIZE52428800250-VRFY250-ETRN250-STARTTLS250-ENHANCEDSTATUSCODES250-8BITMIME250DSN[000.500]Wecanusethisserver[000.501]TLSisanoptiononthisserver[000.501]-->STARTTLS[000.595]<--2202.0.0ReadytostartTLS[000.596]STARTTLScommandworksonthisserver[000.827]SSLVersioninuse:TLSv1.2[000.827]Cipherinuse:ECDHE-RSA-AES128-SHA256[000.828]ConnectionconvertedtoSSL[000.855]Certificate1of3inchain:subject=/CN=vegas.jacobdevans.comissuer=/C=US/O=Let'sEncrypt/CN=Let'sEncryptAuthorityX3[000.882]Certificate2of3inchain:subject=/C=US/O=Let'sEncrypt/CN=Let'sEncryptAuthorityX3issuer=/O=DigitalSignatureTrustCo./CN=DSTRootCAX3[000.908]Certificate3of3inchain:subject=/O=DigitalSignatureTrustCo./CN=DSTRootCAX3issuer=/O=DigitalSignatureTrustCo./CN=DSTRootCAX3[000.909]CertVALIDATED:ok[000.909]CertHostnameVERIFIED(vegas.jacobdevans.com=vegas.jacobdevans.com)[000.909]~~>EHLOchecktls.com[001.006]<~~250-vegas.localdomain250-PIPELINING250-SIZE52428800250-VRFY250-ETRN250-ENHANCEDSTATUSCODES250-8BITMIME250DSN[001.007]TLSsuccessfullystartedonthisserver
POP/IMAP
OscertificadosLetsencryptsãoCross-Signed,portanto,mesmoqueosistemaoperacionalnãosuportearaiz,elejápodeconfiarnocertificadoraizcomassinaturacruzada.Aocontráriodofirefox,oOutlookusaaCATrustinterna,quevocêpodecontrolarcomGPOseusarqualquerautoridadedecertificaçãodesejada(comoCAsassinadasinternamente)