Les failles de sécurité, ça existe.
La machine chargée de l’obtention ou du renouvellement des certificats ne possède pas de serveur Web. Aucun de ses services n’a besoin de certificats. Les certificats sont propagés via le LAN aux machines qui en ont besoin.
Le challenge DNS se fait via api-key. LiveDNS API - Gandi Public API
Je ne suis pas un spécialiste en sécurité donc si cette configuration te semble dangereuse, n’hésite pas à nous le faire savoir.