LetsEncrypt le permite verificar la propiedad de su dominio utilizando el elemento .well-known
, pero como el sitio es http antes de que se emita el primer certificado, ¿no podría alguien hacer un ataque MITM para dar a leenencriptar la respuesta que desea sin realmente poseer ¿el dominio? Estoy bastante seguro de que la gente de LE sabe lo que están haciendo, solo quiero saber cómo funciona.
EDITAR:
Para aclarar, estoy hablando de falsificar todo el proceso, no solo adivinar el nonce que se usa después de que un propietario legítimo comienza el proceso. Estoy hablando de un atacante que ejecuta certbot
y hace todo el proceso.