Nella giornata di mercoledì 4 marzo Let’s Encrypt ha provveduto a revocare circa 3 milioni di certificati TLS/SSL a causa di un bug nel CAA (Certificate Authority Authorization). La CAA consente ai proprietari dei domini di specificare nei propri DNS quali autorità di certificazione sono autorizzate ad emettere certificati per quel dominio specifico.

Codeste autorità sono tenute ad effettuare un controllo sui record CAA non più 8 ore prima dell’emissione del certificato. Il software di controllo per le CAA di Let’s Encrypt verifica il record CAA nel momento in cui convalida il nome dominio e lo considera validato per una finestra temporale di 30 giorni nonostante il proprietario ne possa vietare l’emissione (nell’arco dei 30 giorni) attraverso la modifica del record CAA.

Per chi volesse verificare lo stato del certificato Let’s Encrypt associato al proprio dominio potrà farlo attraverso il seguente servizio: https://checkhost.unboundtest.com/