4 марта 2020 года Джош Аас, исполнительный директор Internet Security Research Group (ISRG) опубликовал на корпоративной странице центра сертификации Let's Encrypt информацию о том, что Let's Encrypt не будет в срочном порядке отзывать часть проблемных TLS/SSL сертификатов, которые ранее должны были быть отозваны из-за бага 2020.02.29 CAA Rechecking Bug.
Сотрудники Let's Encrypt выяснили, что из 116 млн ныне действующих сертификатов Let's Encrypt должно было быть отозвано чуть больше 3 млн (2.6%), из которых примерно 1 млн являются дубликатами, привязанными к одному домену (ошибка в основном затронула очень часто обновляемые сертификаты, поэтому так много дубликатов). Отзыв сертификатов происходит в соответствии с отраслевыми правилами из-за найденной ранее ошибки в алгоритме Boulder для повторной проверки CAA. Хотя инженеры Let's Encrypt пояснили, что, по их данным, проблемой никто не успел злоупотребить.
В Let's Encrypt рассказали, что на 4 марта 2020 года уже более 1,7 млн из проблемных сертификатов перевыпущены, но есть определенная часть сертификатов, около 1,3 млн, которые так и не успели перевыпустить до 5 марта 2020 года. Let's Encrypt предоставляет для владельцев этих сертификатов дополнительный период, в течение которого их можно перевыпустить, чтобы минимизировать сбои в работе веб-служб, использующих их.
«Вместо того, чтобы потенциально сломать так много сайтов и вызвать беспокойство у их пользователей, мы решили, что в интересах поддержания работоспособности Интернета мы не будем аннулировать все эти сертификаты в установленный ранее срок», — заявил Джош Аас.
«Let's Encrypt предлагает только сертификаты со сроком службы девяносто дней, поэтому затронутые проблемой сертификаты, которые мы не можем отозвать, относительно быстро покинут экосистему», — пояснили разработчики Let's Encrypt.
Ранее 29 февраля 2020 года Джейкоб Хоффман-Эндрюс, инженер Let's Encrypt, опубликовал информацию о том, что специалисты Let's Encrypt обнаружили ошибку в рабочем коде для CAA (Certification Authority Authorization). Оказывается, что с 25 июля 2019 года их программное обеспечение Boulder, предназначенное для проверки сертификации, некорректно отрабатывало процедуру повторной проверки в процессе выдачи сертификатов. Если запрос сертификата содержал N доменных имен, которые требовали повторной проверки CAA, то алгоритм Boulder выбирал из этого списка одно доменное имя и проверял его N раз. В результате существовала возможность выдачи сертификата, даже если потом (до X+30 дней) установить запись CAA, запрещающую выдачу сертификата Let's Encrypt.
Let's Encrypt отправил электронные письма всем пострадавшим из-за этой найденной ошибки подписчикам сервиса и предупредил, что их нужно обновить до 4 марта 2020 года.