LetsEncrypt ti consente di verificare la proprietà del tuo dominio utilizzando la cosa .well-known
, ma dal momento che il sito è http prima del rilascio del primo certificato, non è possibile che qualcuno faccia un attacco MITM per dare a letsencrypt la risposta che desidera senza possedere effettivamente il dominio? Sono abbastanza sicuro che le persone di LE sappiano cosa stanno facendo, voglio solo sapere come funziona.
EDIT:
Per chiarire, sto parlando di spoofing dell'intero processo, non solo di indovinare il nonce utilizzato dopo che un legittimo proprietario ha avviato il processo. Sto parlando di un utente malintenzionato che esegue certbot
e sta facendo il tutto.