Hallo Mitleser 2.0,
Mit PHP hat das nichts zu tun.
Nur weil Tom paranoid ist, heißt das nicht, dass keiner hinter ihm her ist.
Und wenn man Let's Encrypt misstraut, dann könnten sie diverse böse Dinge anrichten mit den Dateien, die sie einem auf den Server schreiben.
Ich kenne den Ablauf von ACME nicht. Wenn der Ordner, in den let's encrypt schreibt, einer ist, der auch vom Web gelesen werden kann, DANN besteht die Gefahr, dass sie eine spy.php hochladen und laufen lassen, wenn die Script-Ausführung erlaubt ist.
Das würde ich dann aber als einen Designfehler im Let's Encrypt Ablauf ansehen, der bei heise oder CCC schon längst zu Aufregung hätte führen müssen.
Rolf
--
sumpsi - posui - obstruxi
sumpsi - posui - obstruxi