Meus 2 cents,

So comentando, nem tudo no Let's Encrypt (LE) da 100% certo.

1. Em algumas situacoes em uso via curl, pode acontecer do sistema (client) onde esta rodando nao ter a CA do LE e ai retorna como certificado invalido (do server). Ainda que isso possa ser contornado (instalando a CA no client, passando a fullchain para o curl, etc) -  incomoda.

2. Ja aconteceram casos de emissao de certificado indevido por conta de ma-configuracao do webserver/dns/site, permitindo acesso ao ".well-known/acme-challenge" ou criando entradas de DNS. Ainda que o problema nao seja do LE em si - incomoda.

3. Em Fev/2026 vao entrar em vigor algumas alteracoes no Chrome (EKU/mTLS) - que podem vir a impedir o uso do LE para identificacao do client, o que provavelmente vai incomodar, ainda que em situacoes bem especificas.

Mas de fato o LE eh uma ferramenta formidavel.

Saude e Sucesso !

Sempre usei o Let's Encrypt junto ao certbot e foi a melhor coisa que fiz, muito fácil, prático e geralmente, os erros que encontrava rapidamente achava o motivo: algo mal configurado de minha parte. 

Acho que nenhum dos seus pontos é válido pois basicamente são achismos e exceções.

Meus 2 cents, So comentando, nem tudo no Let's Encrypt (LE) da 100% certo. Em algumas situacoes em uso via curl, pode acontecer do sistema (client) onde esta rodando nao ter a CA do LE e...