Если это сертификат для какого-нибудь nginx - там должна быть возможность записывать файлы в его служебные папки и обновлять конфиг. Так что в целом они не врут.
Установка более либеральных прав на служебные файлы и папки nginx скорее всего приведёт к ошибке при запуске/перезапуске службы.
При очень большом желании можно сделать отдельную виртуалку для nginx (в FreeBSD я использую jail, как там в линуксах дела - не знаю). Тогда сторонняя контора не будет иметь доступа к основной системе. Но это имеет какой-то смысл только в том случае, если на железке крутится что-то помимо Web-сервера. Если ещё как следует покумекать - можно сделать так, чтобы люди имели доступ только к конфигам nginx (в виртуалке), но не к данным Web-сервера (на основной системе). В этом смысла чуть больше, но реализуется сложнее.