Ik neem aan, dat hetgeen geld voor e-mail certificaten, namelijk dat je een geldig certificaat kan kopen bij de aanschaf van een domeinnaam die letterlijk met één letter verschilt met een andere domeinnaam, mits een en ander nog vrij is.
Nu valt het mij op, dat er in certificaten database op mijn computer geen enkele Let's Encrypt certificaat voorkomt, en ik neem aan, dat ze de naam van de uitgever voeren. Ook van de CAcert autoriteit (gratis Nederland) is er geen enkele daarvan in de certificaten database op mijn computer te vinden.

Je certificaten database bevat alleen intermediate certificaten (dus die weer andere certificaten ondertekenen) en client certificaten (dus waarmee je inlogt bij websites die dat gebruiken, doet bijna niemand) en die levert letsencrypt niet.

Wat je precies met die eerste zin bedoelt, is me niet duidelijk. Wat de rest betreft, het root certificaat waaraan de op websites aanwezige Let's Encrypt certificaten zijn gekoppeld, is het ISRG Root X1 certificaat. Dat zou op je computer moeten staan.

De eerste zin was een discussie of een e-mail certifcaat een veilige oplossing was tegen phishing etc.., dus niet.
Inderdaad staat dit certificaat in het certificatenbeheer.

Verdiep je eens in certificaten?
Bijvoorbeeld dat een e-mail certificaat helemaal niets met een webserver certificaat te maken heeft.
Wat Let's Encrypt eigenlijk voor certificaten aanbied.
Dat jouw opmerking over domeinnaam icm 1 letter verschil ook gewoon bij websites van toepassing is.
Maar ook dat je ieder specifieke certificaat ook niet hoeft te weten op je machine. Daar heb je het root en intermediate certificaat voor.
En aangezien het root CAcert certificaat standaard niet trusted certificaat is op de machine aanwezig is, die eigenlijk gedoemd is om niet groot te worden. Waarbij de website van CAcert autoriteit ook al niet op HTTPS werkt.

Is het wel handig dat Let's Encrypt als een soort Sinterklaas allemaal certificaten uitdeelt aan random websites? Ze zullen niet allemaal random zijn maar 260 miljoen is niet niks.

Is dat nu een vraag..? of aanmoediging.
Leg dat eens uit, want ik zie dat CAcert website inderdaad geen HTTPS kenmerk heeft, en volgens u daarom is gedoemd is om niet te groot te worden. is dat de reden, dat ze de website niet met HTTPS, beschermen.

Oorspronkelijk werden certificaten uitgereikt aan bedrijven en personen waarvan de identiteit terdege was vastgesteld.
Dus als je een certificaat wilde moest je persoonlijk langskomen, of naar een notaris gaan voor een gewaarmerkte
kopie van een identiteitsbewijs, of een gewaarmerkt uittreksen van de KVK overleggen, dat soort dingen.
Het idee was dat de gebruiker zeker wist dat hij/zij communiceerde met de partij waarvan de gegevens in het
certificaat stonden.

Op een gegeven moment werd dit als "te lastig" ervaren en "een belemmering voor de handel" (het bekende neoliberale
beleid) en kwamen er bedrijven waar je een certificaat kon aanvragen als je alleen maar kon aantonen dat je de
eigenaar was van een domein. En dat aantonen liep dan niet via de domein registratie, maar via dingen als "kun je
mail ontvangen op een adres zoals postmaster@domein of info@domein" of "kun je iets aanpassen aan de website
die op dat domein draait, bijvoorbeeld een bestandje erop zetten" of "kun je de DNS aanpassen, bijvoorbeeld een
TXT record erbij zetten".
Deze "domain-control-validated" certificaten zijn in feite de bijl aan de wortel van het systeem. Maar die zijn dus niet
door letsencrypt bedacht. Bedrijven als Comodo waren bekend in deze markt, en de door hen uitgegeven certificaten
werden nog een tijd als minderwaardig beschouwd.

De laatste stap in deze neergaande spiraal was letsencrypt, die deze dienst van domain-control-validated certificaten
zelfs gratis en zonder enige tussenkomst van een aanvraagprocedure aanbood. Nu hoef je zelfs geen account met
betaling meer te maken waar nog iets uit te traceren zou zijn, maar kan iedereen die software kan installeren een
certificaat aanvragen. Daarmee is het aspect van "vertrouw je tegenpartij" definitief tot nul gereduceerd, en is het
allemaal alleen nog voor encrypted communicatie met een domeinnaam.

De gevestigde certificaatuitgevers hebben nog geprobeerd om het oorspronkelijke idee achter certificaten terug te
brengen via de EV (extended validation) certificaten, waarbij het allemaal weer gaat zoals het vroeger voor iedereen
werkte, maar kennelijk is dat ook een doodlopend spoor.

Weet iemand of LE zelf ook toegang heeft tot de private keys? Zoja lijkt het eigenlijk gewoon op een grote honeypot om HTTPS verkeer te kunnen onderscheppen.

QED

Nee uiteraard niet. Geen enkele CA heeft toegang tot de private keys. Er zijn wel bedrijven die certificaten verkopen die voor een klant een keypair kunnen genereren en die hebben dan wel (even) toegang tot je private key.

Is dat wel zo? Als ik een certificaat bij LE aanvraag, is dan de procedure niet zo, dat LE het certificaat genereert, en dat ik als aanvrager het wachtwoord voor het certificaat aan LE moet doorgeven, en dat daarna het certificaat (sleutelpaar) aan mij via email wordt opgestuurd door LE.

https://letsencrypt.org/how-it-works/