Let's Encrypt è un'iniziativa della Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, IdenTrust e dei ricercatori dell'Università del Michigan che mira a fornire automaticamente a ogni proprietario di dominio un certificato che può essere utilizzato per TLS.
Per dimostrare che possiedi un dominio, devi installare un file con contenuti particolari (generati casualmente) in un URL particolare (generato casualmente) su quel dominio. Il server Let's Encrypt lo verificherà accedendo all'URL, prima di firmare il certificato.
Ora, supponiamo di avere qualche attacco che farà risolvere il dominio awesomebank.example
al mio server . Supponiamo che io possa anche MITM le connessioni di alcune persone a https: //awesomebank.example/
. TLS ha lo scopo di impedirmi di vedere o alterare le loro comunicazioni al server senza essere rilevato.
Cosa mi impedisce di utilizzare questo attacco al server Let's Encrypt e di ottenere un certificato per awesomebank.example
e quindi utilizzarlo per i clienti MITM di AwesomeBank senza essere rilevato (perché ho un certificato valido)? L'esistenza di una CA completamente automatizzata non rende Internet meno sicuro?