Solo lectura, está bien.
El punto clave de letsencrypt es que debe probar que puede escribir en el directorio.
Cuando reclamas ser propietario de un dominio para permitirle cifrar, te hacen escribir un desafío en ese directorio para demostrar que realmente tienes el control de la máquina. Leer qué desafío le dieron no ayuda a ningún atacante, ya que la forma en que nos permite cifrar la máquina es mediante la entrada del DNS.
Entonces, si alguien afirma que tiene un dominio, le permite cifrar simplemente se conectará a ese dominio y le pedirá que presente un desafío allí.
Ahora bien
- tienen el control de esa máquina. En ese caso, pueden y deben obtener un certificado, pero para demostrar que necesitan ESCRIBIR en ese directorio.
- o no tienen el control de esa máquina. Entonces, ni siquiera llegan a responder esa solicitud y saber que el desafío no les ayuda.
Entonces, para enfatizar esto un poco más:
El valor del token no es secreto, solo tiene que estar "fresco". Eso significa que cuando quiera probar que es propietario del dominio, le permite crear un nuevo token para escribir en esa carpeta para que pueda demostrar que tiene el control del dominio ahora mismo .