O endereço de e-mail de registro letsencrypt está armazenado no certificado

O início do processo de certificação começa com a criação de um CSR ou Solicitação de assinatura de certificado. Essa solicitação permite a entrada opcional de um endereço de e-mail que será incorporado ao certificado assim que for fornecido.

A documentação e o vídeo no link abaixo mostram como eles são criados.

https://www.ssl.com/how-to/manually-generate-a-certificate-signing-request-csr-using-openssl/

Do fórum letsencrypt :

• Os únicos que sabem esse endereço de e-mail (muito poderoso) são você e o Let's Encrypt
• É usado por Let's Encrypt para informar sobre uma expiração pendente
• Não será codificado no certificado
• Não será publicado em nenhum lugar e, portanto, não estará contido em nenhum serviço de "logs de transparência"

E:

A correlação de e-mail para conta/domínios existe apenas em dois locais:

• Banco de dados de LetsEncrypt, que associa um endereço de e-mail a um ID de conta. A equipe do LetsEncrypt pode obter essas informações por conta própria. Você mesmo pode obter essas informações apresentando ao LetsEncrypt a AccountKey atual, que ocorre em conexões https seguras. Nenhum terceiro pode acessar essas informações de LetsEncrypt. Interceptar essas informações durante uma chamada de API exigiria um MITM ou outro ataque.
• Se LetsEncrypt enviar um e-mail de expiração, esse e-mail pode ser retransmitido a você por terceiros confiáveis. É possível, mas incrivelmente improvável, que (i) os provedores de serviços de e-mail da LetsEncrypt ou (ii) seu provedor de serviços de e-mail estejam extraindo essas informações dos e-mails que retransmitem e armazenam.