Die Zertifikate von Amazon Certificate Manager ("Ich habe eine Anforderung erstellt, die an die Domänenregistrierungs-E-Mail für meine Domäne gesendet wurde") und Lets-Encrypt sind Domänenvalidierungszertifikate (DV).
Diese Zertifikate können ausgestellt werden, indem die effektive Kontrolle des Hostnamens bestätigt wird, für den das Zertifikat angefordert wird. Ein Zertifikat kann nicht ausgestellt werden, ohne die Kontrolle über den Domainnamen (oder die Subdomain) zu bestätigen.
ACM verwendet E-Mail-Verifizierung ... Nachrichten werden an die Domänenkontakte (von WHOIS) und an mehrere Kontakte am Domänennamen gesendet und um Autorisierung gebeten. Eine bestätigende Antwort ermöglicht es der Zertifizierungsstelle, davon auszugehen, dass die Zertifikatsanforderung von der Entität autorisiert wurde, die die Domäne steuert.
Lets-Encrypt verwendet in dieser Anwendung vermutlich die dateibasierte Verifizierung. Der Dienst erzeugt eine "Nonce" -Datei - ihr Inhalt ist grundsätzlich bedeutungslos/nutzlos für irgendeinen anderen Zweck, gleichzeitig aber unberechenbar und geheim. Diese Datei wird an einem eindeutigen Pfad auf dem Webserver platziert, der vom Dienst angegeben wird, und dann versucht der Dienst, die Datei über das Internet abzurufen, möglicherweise von mehreren unbekannten/undokumentierten/geografisch verteilten Quell-IP-Adressen (um die Wahrscheinlichkeit zu verringern, dass a böswillige Benutzer könnte den Dienst davon überzeugen, dass die Datei tatsächlich auf der Website ist). Wenn die Nonce-Datei gefunden wird und ihr Inhalt intakt ist, kann der Dienst annehmen, dass die Zertifikatsanforderung von der Entität autorisiert wurde, die die Domäne steuert.
Einige Dienste (Gandi, zum Beispiel) zusätzlich eine dritte Form von Domain-Validierung unterstützen, wo Sie mit Nonce Werten zur Verfügung gestellt werden, dass Sie einen bestimmten DNS-Eintrag auf der Website erstellen können. Das Vorhandensein dieses unvorhersehbaren Datensatzes mit seinem unvorhersagbaren Inhalt ermöglicht es dem Dienst, zu dem Schluss zu kommen, dass die Zertifikatsanforderung von der Entität autorisiert wurde, die die Domäne steuert. Die Domain-Validierung ist die niedrigste Stufe der Validierung von Website-Zertifikaten. Im Gegensatz zu Zertifikaten mit höheren Validierungsebenen identifiziert das resultierende Zertifikat selbst nicht die tatsächliche Organisation, für die das Zertifikat ausgestellt wurde, da die Organisation nicht tatsächlich validiert wurde - nur Kontrolle der Domain war.
Ein relativ neuer Standard, Certificate Authority Authorization DNS-Einträge verhindern die Ausstellung von Zertifikaten durch eine CA, die nicht speziell aufgeführt ist, wenn ein CAA-Eintrag in den DNS-Einträgen der Domäne vorhanden ist.
Update: Auf 2017.11.22, ACM announced, dass es die Fähigkeit hinzugefügt hatte Domain-Validierung über DNS zu tun, die die "dritte" Option I, oben erwähnt.Zu dem Zeitpunkt, als die Frage ursprünglich gestellt und beantwortet wurde, unterstützte ACM nur die E-Mail-Validierung.