Let's Encrypt因臭蟲而撤銷300萬個TLS憑證

免費憑證發行機構Let's Encrypt本周指出，由於該組織所使用的憑證機構軟體Boulder含有一臭蟲，誤發了許多憑證，使得它們必須撤銷已頒發的3百萬個TLS/SSL憑證，約占現行1.16億個憑證數量的2.6%。

當使用者向Let's Encrypt申請網站憑證之後，Boulder會驗證使用者是否擁有該網域名稱的控制權，同時檢查憑證頒發機構授權（Certification Authority Authorization，CAA），CAA是用來確認使用者的確指定由Let's Encrypt負責頒發憑證。

這兩項檢查的有效性存在著時間差，成功驗證網域的所有權之後，在30天之內都是有效的，而Boulder要正式頒發憑證之前的8小時，會再重新檢查一次CAA。

這意味著倘若使用者在申請憑證並通過Boulder的雙重檢驗之後，沒有立即取得憑證，那麼Boulder在發行憑證前就會再檢查一次CAA。

不過，就在Boulder重新檢查CAA時，如果使用者所申請的憑證是支援N個網域名稱的，Boulder並沒有檢查這N個網域名稱的CAA，而是只選擇其中一個網域名稱，然後檢查N次。於是就可能出現使用者的某些網域並未授權Let's Encrypt頒發憑證，但還是取得了來自Let's Encrypt的憑證。

Let's Encrypt是在今年的2月29日發現該臭蟲，但相信此一臭蟲自去年的7月25日就存在了。

於是Let's Encrypt決定撤銷這些受到影響的憑證，目前Let's Encrypt尚未公布撤銷憑證等時間點，但已確定會在世界標準時間（UTC）的3月5日凌晨3點（台北時間3月5日的上午11點），完成撤銷作業。

Let's Encrypt已發出郵件通知受到影響的使用者，使用者亦可透過線上工具檢查自己的網域是否受到波及。