G>Приведи пример атаки. Это же тебе надо стать между Lets Encrypt и сервером для которого выпускается сертификат

Да, именно так

G>причем как-то узнать какой пароль от тебя хочет видеть Lets Encrypt, а он тебе сообщает его по HTTPS

Нет
Злоумышленник сделает запрос сам в Lets Encrypt, чтобы тот выдал ему сертификат
Lets Encrypt пришлёт ему пароль
Далее он имитирует сраницу http с паролем. Это же http. Тут нет ничего сложного. Если ты посередине