Certifikatudstederen Let’s Encrypt tilbagekalder mere end tre millioner certifikater. Let’s Encrypt er et non-profit-foretagende med store spillere bag sig, blandt andre Mozilla, Akamai og Cisco.
Ifølge Bleepingcomputer skyldes tilbagekaldelsen, at der er fundet en bug i organisationens domænevaliderings- og udstedelsessoftware.
En fejl i Let's Encrypts software forårsagede, at visse certifikater ikke blev valideret korrekt gennem den såkaldte Certificate Authority Authorization (CAA), der er konfigureret til et tilknyttet domæne.
En medarbejder fra Let’s Encrypt har gennemgået fejlen i firmaets software, med navnet Boulder:
»Når en certifikatanmodning indeholdt N domænenavne, hvor der var behov for at gen-tjekke med CAA, ville Boulder vælge et domænenavn og kontrollere det N gange. Hvad dette betyder i praksis er, at hvis en Let’s Encrypt-kunde validerede et domænenavn på tidspunktet X, og CAA-registreringer for det domæne på tidspunktet X tilladte Let's Encrypt udstedelse, ville denne kunde være i stand til at udstede et certifikat, der indeholder det domænenavn, indtil X + 30 dage, selvom nogen senere installerede CAA-poster på det domænenavn, der forbyder udstedelse via Let's Encrypt.«
Fejlen er ifølge opslaget rettet, men de allerede udstedte certifikater bliver altså ugyldige.