Здравствуйте, TailWind, Вы писали:

TW>Не рушат ли бесплатные сертификаты от Lets Encrypt весь смысл TLS, https?

TW>Я так понимаю, чтобы получить сертификат ssl предполагалось, что компания владелец домена должна владельцам корневых сертификатов предоставить уставне документы, паспортные данные и прочее. То есть пройти полную проверку. По аналогии с тем как мы получаем сертификаты подписи кода под винду

TW>А теперь что? Ничего не нужно? Можно получить сертификат с консоли:
TW>https://habr.com/ru/articles/667158/

TW>Для проверки нужно только разместить на своем сайте файлик с паролем
TW>Который проверяют, внимание, по http!

TW>Ведь man in middle может сделать вид, что на сайте этот файлик есть, а на самом деле, его там нет. И получить валидный сертификат на любой сайт

TW>Я прав? Это угроза безопасности всей системы https?
TW>Или я что-то не понимаю?

TW>Или есть какой-то фикс к этому?
TW>Например, каталог всех сертификатов, где можно найти дубль

Предполагается, что тот кто будет проверять сертификат знает как Lets Encrypt и ему подобные его выдают и на основании собственных политик безопасности решает доверять ему или нет. Вообще тут все построено на доверии к третьему лицу.