let's encrypt een feature of een security bug

[hansiedown]

In mijn optiek zijn certificaten gebaseerd op vertrouwen en eigenaarschap van het domein.
Nu heb ik een test gedaan met het genereren van certificaten via let's encrypt en dat botst voor mijn gevoel met de regel hiervoor.

wat heb ik gedaan:
via http://www.whatsmyip.org/ mijn publieke internet fqdn opgezocht (hostnaam + domainnaam van mijn internet verbinding).
Vervolgens een certificaat laten genereren via let's encrypt van deze fqdn naam.
En ik krijg netjes (zonder enige waarschuwing) een certificaat!
Moge duidelijk zijn:
- ik ben geen eigenaar van dit domain (is mijn ISP profider)
- Als mijn FQDN naam wijzigt (denk aan ziggo gebruikers met wisselende hostnamen/ipnummers) heb ik een illigaal certificaat (hostname/ipnummer combinatie)
- Als een ander zulk een hostnaam ontvangt, zou deze geen certificaat meer mogen aanvragen bij let's encrypt aangezien dit al is uitgegeven aan een ander.

Wat vinden jullie?

[Stephan296]

Ik heb ook certificaten gehad bij andere bedrijven maar niemand heeft mij nog gevraagd of ik de eigenaar was van een domein.
Maar je kunt geen wildcard certificaat aanvragen bij lets encrypt.
Je moet elk subdomein apart noemen in de aanvraag.