Cuando más y más servidores web instalan el cliente letsencrypt para tener certificados de letencrypt gratuitos, estaba pensando.
¿Se audita a los clientes de letsencrypt? ¿Pueden tener un código malicioso en ellos?
Vamos a cifrar publica una API . Cualquiera puede escribir un cliente para esa API, incluido uno con malware. No tienes que pedir permiso, puedes sentarte y hacerlo sin preguntar a nadie.
Se puede asumir que el cliente recomendado , certbot , es razonablemente examinado, y aunque no está garantizado estar libre de errores, hay una probabilidad muy baja de malware intencional en él.
La razón por la que se puede confiar es que es un software bastante popular, con contribuciones de muchas personas y una cantidad igual de personas que miran el software, y además, la EFF tiene una buena reputación.
EDITAR: malinterpreté la pregunta original, pensando que hablaba de clientes como personas que usan letsencrypt en lugar de clientes como programas que recuperan certificados de letencrypt automáticamente.
Dejaré esto aquí en caso de que un futuro lector esté igualmente confundido.
Respuesta original:
Solo porque un sitio web tiene https, no garantiza que su sitio web sea seguro o no.
En el caso de letsencrypt, solo verifican la capacidad del cliente para controlar el dominio. (Ya sea a través de http o a través de registros DNS)
Básicamente, puede pensar en https solo como garantía de que obtiene a la persona que estaba buscando y de que la comunicación entre usted y ellos está cifrada.
enlace
Como nota aparte, a veces verá certificados de Validación ampliada. (Los de la barra verde) Estos se verifican más, pero aún no en la etapa de auditoría. Solo para verificar que hay una empresa legítima detrás de la URL. letsencrypt no ofrece el servicio EV.
Lea otras preguntas en las etiquetas tls letsencrypt