Letsencrypt/偽証明書について、ここに記述してください。
http://ya.maya.st/d/201609a.html 2016年9月9日(金)
サブドメイン管理者が親ドメインの SSL 証明書を取得する
example.com ドメインの所有者かどうか判断する方法のひとつとして、_acme-challenge.example.com の TXT レコードに指定のトークンを記述せよ、というのが挙げられている。 ということで、ユーザが自由にサブドメインを作れるサービス上で _acme-challenge というサブドメインを作成すれば親ドメインの証明書を発行してもらえる。 今回の WoSign の件のように任意のサブドメインでいけるわけではなく、ラベルにアンスコが含まれるので ちゃんとしたサービスであればバリデーションで弾かれる可能性も大きいけど、 でもそれさえクリアできれば親ドメインの所有者に気付かれることなく Let's Encrypt (あるいは他の ACME プロトコルを実装した CA)から証明書を取得できちゃう。
_acme-challenge.example.com TXT recordの存在確認だけでは不十分ということで、
- 同ゾーンの不存在を確認するのはどうか。
http://gigazine.net/news/20160901-wosign-fake-certificate/
Automatic Certificate Management Environment (ACME)