No hay vulnerabilidades conocidas de Let’s Encypt que puedan ser explotadas. Lo que se suele asociar con la amenaza de hackers en este contexto está relacionado con el tipo de validación. Let’s Encrypt y muchos otros certificados SSL de pago son validados solo por el dominio (DV). Esto significa que para comprobar el certificado, la AC (Autoridad Certificadora) sólo verifica si el dueño del certificado es dueño del dominio. Si un hacker consiguiera adquirir acceso (generalmente a través de phishing) a tu cuenta de dominios en tu registrador, podrían crear subdominios de tu dominio y generar certificados en el mismo como si ellos fueran los dueños. Esto se conoce como shadowing y puede generar confusión al hacer creer a la gente que está visitando tu web, mientras que se trata de un subdominio que no tiene relación con tu página en absoluto.
Un tipo de validación más segura es la validación extendida (EV). Con EV, la identidad el solicitante del certificado también es validada por la AC, en adición a la del dominio, incluso al añadir un certificado a un subdominio.