docs(iwooos): 記錄 dns tls owner acceptance 驗證 [skip ci]

docs/LOGBOOK.md

@@ -1,3 +1,45 @@
+## 2026-06-14｜DNS / TLS / certbot owner response acceptance 只讀帳本完成
+
+**背景**：DNS / TLS / certbot 已被列為 C0 公開入口風險配置，既有 owner confirmation request 已指出 4 個 domain / certificate path 關係需 owner 確認。若缺少 owner response acceptance 帳本，後續容易把 SAN / wildcard / 共用憑證覆蓋確認、憑證到期 metadata、renewal owner 或 ACME route owner 誤判成 DNS query、live TLS probe、certbot renew、Nginx reload 或 route smoke 授權。
+
+**完成項目**：
+- 新增 `scripts/security/domain-tls-certbot-owner-response-acceptance.py`，從 DNS / TLS / certbot owner confirmation request 產生 metadata-only acceptance ledger。
+- 新增 `docs/security/domain-tls-certbot-owner-response-acceptance.snapshot.json`，固定 `acceptance_candidate_count=4`、`c0_acceptance_candidate_count=4`、`required_owner_response_field_count=13`、`reviewer_check_count=13`、`outcome_lane_count=7`、`blocked_action_count=20`。
+- 新增 `docs/security/DOMAIN-TLS-CERTBOT-OWNER-RESPONSE-ACCEPTANCE.md`，說明 owner 必填欄位、reviewer checks、outcome lanes、blocked actions、完成度與 0 / false 邊界。
+- `high-value-config-control-coverage.snapshot.json` 已同步 DNS / TLS / certbot 類別成熟度 `74% -> 78%`；高價值配置平均只讀成熟度維持 `67%`。
+- `security-mirror-progress-guard.py` 已鎖住新 snapshot 的 schema、summary、execution boundaries、candidate ids、reviewer checks、outcome lanes、blocked actions、coverage 類別 `78%` 與每份候選 false flags。
+- `HIGH-VALUE-CONFIG-CONTROL-COVERAGE.md`、`IWOOOS-CONFIG-CONTROL-INVENTORY.md`、`SECURITY-SUPPLY-CHAIN-PROGRESS.md`、P0 主控板與 MASTER 已同步 P0-27。
+
+**本地驗證**：
+- 產生器 smoke：`DOMAIN_TLS_CERTBOT_OWNER_RESPONSE_ACCEPTANCE_OK candidates=4 c0=4 checks=13 lanes=7 accepted=0 runtime_gate=0`。
+- high-value config coverage 重產：`HIGH_VALUE_CONFIG_CONTROL_COVERAGE_OK categories=14 c0=8 avg=67 runtime_gate=0`。
+- `python3 -m py_compile scripts/security/domain-tls-certbot-owner-response-acceptance.py scripts/security/high-value-config-control-coverage.py scripts/security/security-mirror-progress-guard.py` 通過。
+- JSON parse：`domain-tls-certbot-owner-response-acceptance.snapshot.json` 與 `high-value-config-control-coverage.snapshot.json` 通過。
+- `python3 scripts/security/security-mirror-progress-guard.py --root .` → `SECURITY_MIRROR_PROGRESS_GUARD_OK`。
+- `python3 scripts/security/source-control-owner-response-guard.py --root .` → `SOURCE_CONTROL_OWNER_RESPONSE_GUARD_OK`。
+- DNS / TLS acceptance snapshot 斷言：`DOMAIN_TLS_ACCEPTANCE_ASSERTIONS_OK candidates=4 c0=4 fields=13 checks=13 lanes=7 accepted=0 runtime_gate=0`。
+- `python3 scripts/ops/doc-secrets-sanity-check.py docs .gitea` → `DOC_SECRET_SANITY_OK scanned_files=846`。
+- `git diff --check` 與 `git diff --cached --check` 通過。
+- 新增行敏感與工作視窗溝通片語掃描：raw personal namespace、external raw namespace、approval-loop phrase、thread delegation phrase 均無命中。
+
+**Gitea / production readback**：
+- Code commit：`066bf5d1 fix(iwooos): 新增 dns tls owner acceptance ledger`，已正常 push 到 `gitea/main`，無 force push。
+- Gitea Actions：`code-review.yaml #4254` Success，job `6203 ai-code-review` Success。
+- Deploy marker：未新增，仍沿用 `605fde43 chore(cd): deploy 4bbc526 [skip ci]`；本輪只改 repo-only 規範、snapshot、guard 與總帳，不變更前端 bundle 或 runtime。
+- Production HTML readback：`/zh-TW/iwooos?_v=066bf5d1-dns-tls-acceptance-prod-curl` HTTP `200`，raw personal namespace `false`、external raw namespace `false`、internal collaboration phrase `false`。
+- Production HTML readback：`/zh-TW/awooop/tenants?_v=066bf5d1-dns-tls-acceptance-prod-curl` HTTP `200`，raw personal namespace `false`、external raw namespace `false`、internal collaboration phrase `false`。
+- Production API readback：`/api/v1/platform/tenants?_v=066bf5d1-dns-tls-acceptance-api-curl` HTTP `200`，raw personal namespace `false`、external raw namespace `false`、internal collaboration phrase `false`。
+- In-app browser current viewport：`/zh-TW/iwooos?_v=066bf5d1-dns-tls-acceptance-prod-check` 可見 IwoooS、審查後修正候選與高價值配置矩陣；`innerWidth=1006`、`scrollWidth=1000`、`horizontalOverflow=false`，raw namespace 與工作視窗片語均為 `false`。
+- In-app browser current viewport：`/zh-TW/awooop/tenants?_v=066bf5d1-dns-tls-acceptance-prod-check` 無水平溢出，raw namespace 與工作視窗片語均為 `false`。
+- Mobile browser verification：本輪不適用，因未改前端 bundle；沿用上一輪 production mobile sensitive scan 與 overflow 驗證，後續若改 `/zh-TW/iwooos` 或 `/zh-TW/awooop/tenants` 前端文案 / layout，必須重跑 desktop / mobile browser smoke。
+
+**完成度與邊界**：
+- DNS / TLS / certbot owner response acceptance ledger artifact：`100%`。
+- DNS / TLS / certbot 只讀治理成熟度：`74% -> 78%`。
+- 高價值配置平均只讀成熟度：維持 `67%`。
+- IwoooS headline：維持 `64%`；active runtime gate：維持 `0`。
+- request sent、recipient confirmed、owner response received / accepted、certificate coverage confirmed、certificate expiry metadata accepted、renewal owner accepted、ACME route owner accepted、maintenance window accepted、rollback owner accepted、DNS query、live TLS probe、certbot renew、Nginx reload、route smoke、DNS record change、certificate path change、ACME route change、secret value collection、TLS private key read、host write、production write、runtime gate、action button 全部維持 `0 / false`。
+
 ## 2026-06-14｜S4.9 owner response gap audit snapshot 與 public surface redaction guard 完成
 
 **背景**：使用者指出 `/zh-TW/awooop/tenants` 曾把 raw repository owner / namespace 顯示在前台，且 IwoooS 風險卡容易讓人誤以為「看得到」就是「已處理」。本輪將這兩個問題納入 S4.9 owner response gate 的固定缺口稽核：前台 / public API / HTML / bundle / messages 不得顯示 raw namespace、個人識別、外部 raw namespace 或內部協作語句；風險卡必須標示仍卡在哪些 owner gate，不得假性拉高進度。