โครงการ Let's Encrypt ประกาศว่าจะเพิกถอนใบรับรอง TLS มากกว่าสามล้านใบหลังจากพบข้อผิดพลาดในรหัสการอนุญาตผู้ออกใบรับรอง (CAA) ข้อบกพร่องส่งผลกระทบต่อซอฟต์แวร์เซิร์ฟเวอร์ที่ใช้โดย Let's Encrypt ที่เรียกว่า Boulder ซึ่งอนุญาตให้โครงการตรวจสอบผู้ใช้และโดเมนก่อนที่จะออกใบรับรอง TLS Let's Encrypt ตัดสินใจเพิกถอนใบรับรอง TLS เนื่องจากการใช้งานข้อกำหนด CAA ภายใน Boulder ได้รับผลกระทบจากข้อบกพร่อง CAA เป็นมาตรฐานความปลอดภัยที่ได้รับการอนุมัติในปี 2017 ช่วยให้เจ้าของโดเมนสามารถป้องกันไม่ให้องค์กรที่ออกใบรับรอง TLS เรียกว่าผู้ออกใบรับรอง (CA) ไม่ให้ออกใบรับรองสำหรับโดเมนของตน การเพิ่ม "ช่อง CAA" ลงในระเบียน DNS ของโดเมน เจ้าของโดเมนจะมั่นใจได้ว่ามีเพียงผู้ออกใบรับรองที่อยู่ในช่อง CAA เท่านั้นที่สามารถออกใบรับรอง TLS สำหรับโดเมนของตนได้ ผู้ออกใบรับรอง เช่น Let's Encrypt จะต้องปฏิบัติตามข้อกำหนดเฉพาะของ CAA ทุกประการ มิฉะนั้นอาจถูกลงโทษจากผู้ผลิตเบราว์เซอร์
การเพิกถอนใบรับรอง TLS
หลังจากทราบปัญหา วิศวกรของ Let's Encrypt Jacob Hoffman-Andrews เปิดเผยว่าข้อผิดพลาดใน Boulder ทำให้ซอฟต์แวร์เซิร์ฟเวอร์เพิกเฉยต่อการตรวจสอบ CAA ในโพสต์ฟอรัม โดยกล่าวว่า: "ข้อบกพร่อง: เมื่อคำขอใบรับรองมีชื่อโดเมน N ชื่อที่ต้องการ การตรวจสอบ CAA ใหม่ Boulder เลือกชื่อโดเมนและยืนยันชื่อ N ครั้ง ในทางปฏิบัติ หมายความว่าหากผู้สมัครสมาชิกตรวจสอบความถูกต้องของชื่อโดเมนในเวลา X และใบรับรองบันทึก CAA สำหรับโดเมนนี้ในเวลา X ที่อนุญาต Let's Encrypt ออก ผู้สมัครสมาชิกนี้สามารถ ออกใบรับรองที่มีชื่อโดเมนนี้ภายในเวลาสูงสุด X + 30 วัน แม้ว่าจะมีคนติดตั้งบันทึก CAA ในชื่อโดเมนนี้ในภายหลัง ซึ่งห้ามไม่ให้ออกใบรับรองโดย Let's Encrypt" โครงการ Let's Encrypt ทำงานอย่างรวดเร็วเพื่อแก้ไขข้อบกพร่องเหนือ สุดสัปดาห์และ Boulder สามารถตรวจสอบฟิลด์ CAA ได้อย่างถูกต้องก่อนที่จะออกใบรับรองใหม่ โชคดีที่เป็นไปได้น้อยมากที่จะมีใครใช้ประโยชน์จากบั๊ก ตามโครงการ จนถึงปัจจุบัน โครงการ Let's Encrypt ได้เพิกถอนใบรับรองทั้งหมดที่ออกโดยไม่มีการตรวจสอบ CAA ที่เหมาะสม ตอนนี้ใบรับรองที่ได้รับผลกระทบทั้งหมดจะทำให้เกิดข้อผิดพลาดด้านความปลอดภัยในเบราว์เซอร์จนกว่าเจ้าของโดเมนจะขอใบรับรอง TLS ใหม่เพื่อแทนที่ใบรับรองเก่า ผ่าน ZDNet