Let's Encrypt, nekomercialna CA, ki jo nadzoruje skupnost, ki vsakomur brezplačno zagotavlja potrdila, o prihajajočem preklicu številnih že izdanih TLS/SSL certifikatov. Od 116 milijonov trenutnih certifikatov Let's Encrypt jih bo dobrih 3 milijone (2.6 %) preklicanih, od tega je približno 1 milijon dvojnikov, vezanih na isto domeno (napaka je prizadela predvsem zelo pogosto posodobljena potrdila, zato jih je toliko dvojniki). Odpoklic je predviden za 4. marec (točna ura še ni določena, vendar bo odpoklic izveden ne prej kot ob 3. uri po srednjeevropskem času).
Potreba po odpoklicu je zaradi ugotovljenih 29. februarja . Težava se kaže od 25. julija 2019 in vpliva na sistem preverjanja CAA zapisov v DNS. zapis CAA (, pooblastilo overitelja potrdil) omogoča lastniku domene, da izrecno določi overitelja potrdil, prek katerega se lahko generirajo potrdila za navedeno domeno. Če overitelj ni naveden v evidenci CAA, mora blokirati izdajo certifikatov za to domeno in obvestiti lastnika domene o poskusih vdora. V večini primerov se potrdilo zahteva takoj po opravljeni verifikaciji CAA, vendar se rezultat verifikacije šteje za veljavno še 30 dni. Pravila prav tako zahtevajo ponovno validacijo najpozneje 8 ur pred izdajo novega potrdila (tj. če je od zadnje validacije, ko je bilo zahtevano novo potrdilo, minilo 8 ur, je potrebna obnovitev veljavnosti).
Napaka se pojavi, če zahteva za potrdilo zajema več imen domen hkrati, od katerih je za vsako potrebno preverjanje zapisa CAA. Bistvo napake je v tem, da je bila ob ponovnem preverjanju namesto validacije vseh domen ponovno preverjena samo ena domena s seznama (če je bilo v zahtevi N domen, je bila namesto N različnih preverjanj ena domena preverjeno N-krat). Za ostale domene se drugo preverjanje ni izvajalo in se je odločalo na podlagi podatkov iz prvega preverjanja (torej uporabljeni so bili podatki stari do 30 dni). Posledično je lahko Let's Encrypt v 30 dneh od prvega preverjanja izdal potrdilo, tudi če je bila vrednost zapisa CAA spremenjena in je bil Let's Encrypt odstranjen s seznama veljavnih CA.
Prizadeti uporabniki so prejeli e-poštno obvestilo, če so bili kontaktni podatki izpolnjeni, ko so prejeli potrdilo. Svoje certifikate lahko preverite s prenosom serijskih številk preklicanih potrdil ali z uporabo (nahaja se na naslovu IP, v Ruski federaciji Roskomnadzor). Serijsko številko certifikata za domeno, ki vas zanima, lahko ugotovite z ukazom:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -besedilo -noout | grep -A 1 Serijska\Številka | tr -d :
Vir: opennet.ru