Cifriamo pubblica un'API . Chiunque può scrivere un client per quell'API, incluso uno con malware. Non devi chiedere il permesso, puoi sederti e farlo senza chiedere a nessuno.
Il client consigliato , certbot , si può presumere che sia ragionevolmente controllato e, sebbene non sia garantito essere privo di bug, c'è una probabilità molto bassa di malware intenzionale in esso.
Il motivo per cui ci si può fidare è che si tratta di un software piuttosto popolare, con contributi di molte persone, e una pari quantità di persone che scrutano il software, e inoltre EFF ha una buona reputazione.
EDIT: ho interpretato erroneamente la domanda originale, pensando che stessero parlando di client come persone che usano letcrypt invece di client come programmi che recuperano automaticamente i certificati di letcrypt.
Lascio questo qui nel caso in cui un futuro lettore sia confuso allo stesso modo.
Risposta originale:
Solo perché un sito web ha https, non garantisce che il loro sito web sia sicuro o protetto.
Nel caso di letsencrypt, verificano solo la capacità del client di controllare il dominio. (Tramite http o attraverso i record DNS)
Essenzialmente, puoi pensare a https solo assicurandoti di ottenere la persona che stavi cercando e assicurandoti che la comunicazione tra te e loro sia crittografata.
link
Per inciso, a volte vedrai i certificati di convalida estesa. (Quelli della barra verde) Questi sono verificati di più, ma non ancora nella fase di verifica. Solo per verificare che dietro l'URL ci sia una società legittima. letsencrypt non offre il servizio EV.
Leggi altre domande sui tag tls letsencrypt