Názor k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu od Ondřej Caletka - Pokud dobře vzpomínám, tak tohle se kdysi v...

Pokud dobře vzpomínám, tak tohle se kdysi v IETF řešilo a řešení s ověřováním přímo po HTTPS (bez ohledu na certifikát) se ukázalo jako zranitelné, počkejte si, kvůli sdíleným hostingům ;)

Problém je zde v tom, že existuje spousta hostingů, které na jedné IP adrese hostují různé množiny HTTP a HTTPS serverů. Příklad: porovnejte http://sut.sh.cvut.cz/ a https://sut.sh.cvut.cz/ (je třeba odkliknout neplatný certifikát)

Takže uživatel ovládající výchozího virtuálního https hosta by dostal ověřovací požadavky pro všechny http hostingy, které nemají https zavedeno. Čili je to obdoba aktuální zranitelnosti. Proto je při http-01 nutné projít přes port 80.

Ale určitě by bylo fajn mít možnost ověřovat pomocí web serveru bez nutnosti provozovat zastaralé HTTP. Snad někdo vymyslí dostatečně bezpečné řešení.