Je ne vois rien de choquant dans leurs arguments.
Fermer le port 80 alors que le 443 est ouvert et que ce sont les mêmes services derrière ne me donne pas l'impression d'une meilleure sécurité.
Il est exact que les connexions vers le serveur HTTP en TCP/80 ne sont pas chiffrées, mais si un pirate tente une attaque sur le port 80 c'est le traffic de *sa* session qui sera en clair.
Mon approche perso est d'avoir un index.html bidon servi à la racine du serveur web.
Ey pour toute les autres services disponibles sur mon NAS c'est le reverse proxy qui en gère les connexions, *uniquement* en https :
Quant aux services natifs DSM que j'utilise (filestation, drivestation, videostation, etc ...), je les ai configurés dans le portail de connexion uniquement via un alias dédié pour chacun et aucun port pour accès direct.
J'ai quand même activé la redirection automatique https=> http pour les ces services (même si pour la même raison que mentionnée au début de mon post je ne pense pas que ca crée la moindre faille de sécurité supplémentaire). Comme cette dernière ne s'applique pas au serveur WEB avec sa config de portail par défaut, Let's Encrypt n'a pas de problème pour renouveler les certificats