MoinQ:

Letsencrypt/偽証明書について、ここに記述してください。

http://ya.maya.st/d/201609a.html 2016年9月9日(金)

サブドメイン管理者が親ドメインの SSL 証明書を取得する

example.com ドメインの所有者かどうか判断する方法のひとつとして、_acme-challenge.example.com の TXT レコードに指定のトークンを記述せよ、というのが挙げられている。

ということで、ユーザが自由にサブドメインを作れるサービス上で _acme-challenge というサブドメインを作成すれば親ドメインの証明書を発行してもらえる。
今回の WoSign の件のように任意のサブドメインでいけるわけではなく、ラベルにアンスコが含まれるので
ちゃんとしたサービスであればバリデーションで弾かれる可能性も大きいけど、
でもそれさえクリアできれば親ドメインの所有者に気付かれることなく
 Let's Encrypt (あるいは他の ACME プロトコルを実装した CA)から証明書を取得できちゃう。 

_acme-challenge.example.com TXT recordの存在確認だけでは不十分ということで、


http://gigazine.net/news/20160901-wosign-fake-certificate/

Automatic Certificate Management Environment (ACME)

1. こっちは偽ではなくて

https://news.netcraft.com/archives/2017/04/12/lets-encrypt-and-comodo-issue-thousands-of-certificates-for-phishing.html