Здравствуйте, TailWind, Вы писали:

TW>Не рушат ли бесплатные сертификаты от Lets Encrypt весь смысл TLS, https?
Нет конечно

TW>Я так понимаю, чтобы получить сертификат ssl предполагалось, что компания владелец домена должна владельцам корневых сертификатов предоставить уставне документы, паспортные данные и прочее. То есть пройти полную проверку. По аналогии с тем как мы получаем сертификаты подписи кода под винду
Мало ли что предполагалось, это нетехнический аспект.
По сути единственное требование — подтвердить издателю что ты владеешь именем, для которого выпускаешь сертификат. Для этого достаточно DNS\Whois или ручное размещение файла на сервере за этим именем, доступного по любому протоколу.

TW>А теперь что? Ничего не нужно? Можно получить сертификат с консоли:
TW>https://habr.com/ru/articles/667158/

TW>Ведь man in middle может сделать вид, что на сайте этот файлик есть, а на самом деле, его там нет. И получить валидный сертификат на любой сайт
Приведи пример атаки. Это же тебе надо стать между Lets Encrypt и сервером для которого выпускается сертификат, причем как-то узнать какой пароль от тебя хочет видеть Lets Encrypt, а он тебе сообщает его по HTTPS

TW>Или я что-то не понимаю?
Скорее всего

TW>Или есть какой-то фикс к этому?
Я думаю кто это придумал вовсе не идиоты и скамеры.