Let's Encrypt — это популярный, бесплатный орган сертификации с открытым исходным кодом, управляемый Группой исследований интернет-безопасности (ISRG). Он выдал более миллиарда сертификатов веб-сайтам по всему миру. Хотя нельзя отрицать огромный вклад компании во внедрение HTTPS в сети, сертификаты Let's Encrypt не застрахованы от ошибок или злонамеренного использования. Последняя неудача произошла, когда более трех миллионов сертификатов были затронуты критической ошибкой и их пришлось отозвать.
Причина в коде, который непал список телефонных номеров проверяет наличие CCA (авторизация центра сертификации) всякий раз, когда пользователь продлевает свои сертификаты SSL , чтобы убедиться, что владелец домена не наложил никаких ограничений на то, кто может продлевать. В результате несколько владельцев доменов подвергаются потенциальным кибератакам из-за автоматического сканирования Lets Encrypt, которое сканирует только один домен и пропускает остальные.
Первоначально Let's Encrypt объявила, что отзовет около трех миллионов сертификатов в соответствии с отраслевыми правилами; Однако в короткие сроки компания решила оставить активными более миллиона SSL-сертификатов. Вот что сказал по этому поводу исполнительный директор IRSG:
«К сожалению, мы считаем, что вполне вероятно, что более 1 миллиона сертификатов не будут заменены до наступления крайнего срока отзыва сертификатов. «Вместо того, чтобы потенциально привести к сбою многих сайтов и вызвать беспокойство у посетителей, мы решили, что в интересах безопасности Интернета не отзывать эти сертификаты к установленному сроку».
