我可以使用LetsEncrypt为我不拥有的子域颁发证书吗？

Question

试图弄清楚假冒行为。我相信已由Let's Encrypt Authority X3颁发了一个证书，该证书是我知道所有者的域的子域，而他们没有颁发此证书。 是否可以使用Lets Encrypt将该证书颁发给子域而不实际拥有它？

Answer 1

在通常情况下，不可能为不受您控制的域获取“让我们加密”证书。

要获取域的新证书，请求证书的代理必须证明其控制该域，通常是通过配置DNS记录或HTTP资源。完成此操作后，它将获得授权的密钥对，可用于请求，续订或吊销证书。

但是：

1. 如果您失去对授权密钥对的控制，则拥有私钥的任何人都可以使用它来请求授权域的证书。
2. 所有权和控制权不一定并存。公司A可以拥有并最终控制domain.com，但如果愿意，可以将subdomain.domain.com的控制权委托给另一方。如果是这样，该方可以通过设计在没有公司A知情或同意的情况下获得该子域的证书。
3. 由于第（2）点，您实际上可能没有拥有您认为拥有的域。如果网络托管公司拥有domain.com，而您从他们那里购买了sub.domain.com，则他们很可能会将sub.sub.domain.com出售给其他人，因此其他人可能能够获得证书它。有关发生的确切示例，请参见this question over on ServerFault。