Prinzip

• Das Ganze ist skriptbasierend.
• Let’s Encrypt gibt Ihrem ACME-Client einen Token
• ACME-Client legt eine Datei auf Ihrem Webserver unter http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN> ab.
• Datei enthält den Token sowie einen Fingerabdruck Ihres Kontoschlüssels.
• Sobald Ihr ACME-Client Let’s Encrypt mitteilt, dass die Datei fertig ist, versucht Let’s Encrypt sie abzurufen.
• Wenn unsere Validierungsprüfung mit den Antworten von Ihrem Webserver übereinstimmen, wird die Validierung als erfolgreich angesehen.
• Sie können mit der Ausstellung Ihres Zertifikats fortfahren.
• Wenn noch nicht geschehen, erzeugen Sie einen PrivKey und dazu einen CSR.
• Dieser wird dann an Letsencrypt geschickt und Letsencrypt stellt dann das Zertifkat aus.
• Die HTTP-01 Challenge kann nur auf Port 80 durchgeführt werden.

Vorteile

• Ohne Fachkenntnisse in der Domainverwaltung einfach zu automatisieren.
• Erlaubt Hosting Providern das Ausstellen von Zertifikaten für CNAME Domains.
• Funkioniert mit jedem Standard-Webserver

Nachteile

• Funktioniert nicht, wenn Ihr ISP Port 80 blockiert (selten, aber es gibt solche ISPs)
• Let’s Encrypt erlaubt diese Challenge nicht zum Ausstellen von Wildcard Zertifikaten
• Wenn Sie mehrere Webserver haben, müssen Sie sicherstellen, dass die Dateien überall verfügbar sind.

Quelle

• https://letsencrypt.org/de/docs/challenge-types/