Certificaatautoriteit Let's Encrypt heeft besloten om 1 miljoen tls-certificaten die het oorspronkelijk wilde intrekken omdat erbij de controle iets was misgegaan toch niet in te trekken. Afgelopen dinsdag maakte Let's Encrypt bekend dat de software die bij de uitgifte van tls-certificaten werd gebruikt een fout bevatte.

Certificaten van Let's Encrypt zijn negentig dagen geldig en worden bij de meeste gebruikers automatisch vernieuwd als de huidige certificaten minder dan dertig dagen geldig zijn. Gebruikers die over meerdere certificaten beschikken kunnen die op hetzelfde moment laten vernieuwen. Tijdens dit proces voert Let's Encrypt verschillende controles uit, waaronder de controle van Certification Authority Authorization (CAA) records.

In deze records staat welke certificaatautoriteit een certificaat voor een domein mag uitgeven. Op deze manier kan de domeineigenaar aangeven van welke certificaatautoriteit of autoriteiten hij voor zijn domein gebruik wil maken. Wanneer er geen CAA-record aanwezig is kan elke certificaatautoriteit voor het domein een certificaat uitgeven.

Bij de controle van deze CAA-records ging de software van Let's Encrypt in de fout. Wanneer een gebruiker bijvoorbeeld tien certificaten wilde laten vernieuwen, zorgde de bug ervoor dat het CAA-record van één domein tien keer werd gecontroleerd en van de andere negen certificaten niet. Aangezien er geen fouten bij het uitgifteproces mogen worden gemaakt moeten alle certificaten die gedurende de aanwezigheid van de bug zijn uitgegeven worden ingetrokken.

De bug werd vermoedelijk op 25 juli 2019 geïntroduceerd. Volgens Let's Encrypt zouden er meer dan drie miljoen certificaten moeten worden ingetrokken, waarbij 5 maart als deadline was gegeven. Sinds de aankondiging van Let's Encrypt zijn in minder dan 48 uur meer dan 1,7 miljoen getroffen certificaten vervangen. De certificaatautoriteit verwacht dat meer dan één miljoen certificaten echter niet op tijd zullen worden vervangen door hun eigenaren.

"In het belang van de gezondheid van het internet hebben we besloten dat het beter is om deze certificaten niet na het verstrijken van de deadline in te trekken", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG), de partij achter Let's Encrypt. Aas merkt op dat Let's Encrypt-certificaten slechts negentig dagen geldig zijn en de certificaten in kwestie dan ook snel zullen verdwijnen. De meer dan 1,7 miljoen certificaten die inmiddels zijn vervangen zullen vandaag worden ingetrokken. Daarnaast gaat het om 445 certificaten waarvan de eigenaren in de CAA-records hadden vermeld dat Let's Encrypt voor die domeinen geen certificaten mocht uitgeven.