Je hebt een klacht over de onderstaande posting:
Erik, goed verhaal en als dit volledig waar is zou dat inderdaad betekenen dat iemand met een MITM een certificaat voor iemand anders zou kunnen aanvragen. Er is 1 punt waar ik over twijfel: Hier heeft de FAKE aanvrager een nieuw account-sleutelpaar gegenereerd, waarmee hij een certificaataanvraag doet. Ik vraag me af of dit kan. Volgens mij is het domein waarvoor ik een certificaat heb aangevraagd gekoppeld aan mijn account. Dit zou volgens mij betekenen dat: 1) Dit zou kunnen werken voor een domein waarvoor nog nooit een certificaat is aangevraagd 2) Dit niet meer werkt voor domeinen waarvoor een aanvraag is geweest In dat geval zou het betekenen dat je je beveiliging kan verbeteren door een certificaat aan te vragen voor jouw domeinen, ongeacht of je daadwerkelijk iets met het certificaat gaat doen :-) Of het daadwerkelijk zo werkt is ongetwijfeld terug te vinden in code van de server-side van LE (https://github.com/letsencrypt/boulder), ik heb zelf nu even geen tijd om de code in te duiken.
Beschrijf je klacht (Optioneel):