Let's Encrypt trekt drie miljoen certificaten in na ontdekken bug
Let's Encrypt heeft besloten om drie miljoen tls/ssl-certificaten in te trekken vanwege een bug. Het gaat om 2,6 procent van de actieve certificaten. De organisatie stuurt de getroffen gebruikers een mail, voor zover de contactgegevens daar bekend zijn. De bug die op 29 februari werd ontdekt, heeft er voor gezorgd dat Let's Encrypt de authenticiteit van een groot aantal certificaten niet meer kan verifiëren. Het bedrijf meldt dat de fout mogelijk sinds 25 juli vorig jaar actief was.
De drie miljoen certificaten betreffen 2,5 procent van het aantal actieve certificaten met een totaal van ongeveer 116 miljoen stuks. Website-eigenaren moeten het certificaat vernieuwen. Indien ze dit niet doen zal het huidige certificaat door de browsers als onveilig worden bevonden.
Omdat het invoeren van een e-mailadres als contactgegevens optioneel is heeft de organisatie een website online gezet waar je een hostname in kan voeren, zodat er kan worden gekeken of onder de ingetrokken certificaten valt. Ook is er een volledige lijst online gezet met alle serienummers van de certificaten die ingetrokken zullen worden.
Update: Let's Encrypt meldt dat de betrokken certificaten toch niet worden ingetrokken: ""Let's Encrypt heeft alleen certificaten die negentig dagen geldig blijven, dus mogelijk getroffen certificaten die we niet intrekken, zullen het ecosysteem snel verlaten""
Gerelateerde nieuwsberichten
29/12/2023 Let's Encrypt heeft al 377 miljoen certificaten verstrekt
08/10/2021 Veel certificaten van Let's Encrypt onbruikbaar door verlopen root-certificaat
09/02/2020 Chrome gaat downloaden van bestanden via http blokkeren
Om te reageren heb je een account nodig en je moet ingelogd zijn.