29 февраля 2020г у Let's Encrypt был обнаружен баг в коде CAA, который появлялся во время выпуска сертификатов. Подробности бага можно найти на официальном форуме.


Что нужно чтобы устранить его?


На текущий момент выявленный баг уже исправлен, но часть выпущенных сертификатов будут отозваны уже 4 марта 2020г. В случае, если сертификат подлежит отзыву, от Let's Encrypt придет соответствующее уведомление следующего вида:


We recently discovered a bug in the Let's Encrypt certificate authority code,
described here:

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

Unfortunately, this means we need to revoke the certificates that were affected
by this bug, which includes one or more of your certificates. To avoid
disruption, you'll need to renew and replace your affected certificate(s) by
Wednesday, March 4, 2020. We sincerely apologize for the issue.

If you're not able to renew your certificate by March 4, the date we are
required to revoke these certificates, visitors to your site will see security
warnings until you do renew the certificate. Your ACME client documentation
should explain how to renew.

If you are using Certbot, the command to renew is:

certbot renew --force-renewal

If you need help, please visit our community support forum:
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

Please search thoroughly for a solution before you post a new question. Let's
Encrypt staff will help our community try to answer unresolved questions as
quickly as possible.

Your affected certificate(s), listed by serial number and domain names:

03c77677fcf52b900f8d85646f7ffc7fc121: *.test.ru test.ru

Для решения проблемы нужно просто произвести принудительное обновление SSL-сертификата тем клиентом, которым его выпускали ранее, или произвести перевыпуск сертификата при помощи любого другого клиента. Наши команды уже приступили к обновлению сертификатов на серверах наших клиентов.


Проверить нужно ли перевыпускать сертификат или нет, можно по следующей ссылке.