Sembra che tu abbia un fondamentale fraintendimento su quali parti devono essere sicure. Non importa se gli altri ottengono il CSR (importa se possono manometterlo) o il CRT. Stai per girarti e condividere pubblicamente il certificato con tutti per farne uso. Non dovresti mai trasmettere la chiave privata e il protocollo ACME non lo richiede.
Ciò che deve essere sicuro è che è necessario assicurarsi che la sfida non sia manomessa. Se una sfida è stata manomessa tra il server ACME e il client, sarebbe possibile per un avversario ingannare il client legittimo nel rispondere alla richiesta per l'utente malintenzionato in modo che l'autore dell'attacco possa ottenere un certificato dal server per il proprio privato chiave.
È possibile utilizzare SSL con un certificato aggiunto per garantire che si stia effettivamente parlando con il server reale quando riceve la richiesta di rilascio per il proprio CSR. Ciò consentirà di stabilire una connessione sicura con il server in modo tale da poter verificare che il CSR sia inalterato durante il volo e che la sfida fornita sia quella per il CSR.