certbot certonly --webroot --webroot-path /srv/certbot --no-eff-email \
    --key-type ecdsa --reuse-key --must-staple --preferred-chain "ISRG Root X1" \
    --deploy-hook "/usr/local/bin/certbot-ocsp-fetcher -o /etc/nginx/ocsp-cache" \
    --cert-name mta-sts.mail.grapheneos.org \
    -d mta-sts.mail.grapheneos.org \
    -d mail.grapheneos.org \
    -d mta-sts.attestation.app \
    -d mta-sts.discuss.grapheneos.org \
    -d mta-sts.grapheneos.social \
    -d mta-sts.matrix.grapheneos.org