Ich habe gelesen, dass Let's Encrypt von Hackern ausgenutzt werden kann. Ist das wahr?
Es gibt keine bekannte Sicherheitslücke in Let’s Encrypt, die ausgenutzt werden kann. Was in diesem Zusammenhang normalerweise mit Hacker-Bedrohung gemeint ist, hängt mit der Art der Zertifikat-Validierung zusammen. Let’s Encrypt und viele andere kostenpflichtige SSLs sind domain-validated only (DV). Das bedeutet, dass die CA (Certificate Authority), um das Zertifikat auszustellen, nur prüft, ob der Zertifikatsinhaber die Domain besitzt. Wenn es einem Hacker gelingt, Zugriff auf Ihr Domain-Konto (in der Regel durch Phishing) bei Ihrem Domain-Registrar zu erlangen, kann er Sub-Domains Ihrer Domain erstellen und Sicherheitszertifikate für die Sub-Domains ausstellen, als ob sie der Besitzer wären. Dies wird als Domain-Shadowing bezeichnet und kann zu irreführenden Menschen führen, dass sie Ihre Website besuchen, während es in der Tat eine Subdomain ist, die überhaupt nicht mit Ihrer Website zusammenhängt.
Eine sicherere Art der Validierung ist die erweiterte Validierung (EV), bei der die Identität des Zertifikatsanforderers ebenfalls angegeben ist von der CA zusätzlich zum Besitz der Domain überprüft, auch wenn sie ein Zertifikat für eine Subdomain ausstellen.