Ho letto che Let’s Encrypt può essere sfruttato dagli hacker. È vero?

Non vi è alcuna vulnerabilità conosciuta nella sicurezza di Let’s Encrypt che può essere sfruttata. In questo contesto, quello che si intende con “minaccia hacker” è connesso alla verifica del certificato. Let’s Encrypt e molti altri SSL a pagamento sono domain-validated only (DV). Questo significa che, per emettere il certificato, il CA (authority del certificato) verifica solamente che il richiedente possieda il dominio in oggetto. Se un hacker riuscisse ad ottenere l’accesso (generalmente attraverso il phising) all’account del tuo domino, potrebbe creare sottodomini del tuo dominio e, per gli stessi, richiedere  certificati come se ne fosse il reale proprietario.

Esiste un altro tipo di convalida Extended Validation (SSL EV). Con EV l’identità di chi richiede il certificato è anche convalidata dal CA oltre alla proprietà del dominio stesso, anche quando il certificato si rilascia per un sotto dominio. In SiteGround offriamo pure certificati EV.