Let’s Encrypt trekt woensdag drie miljoen tls/ssl-certificaten in vanwege een bug. Het gaat om 2,6 procent van de actieve certificaten. Gebruikers waarvan het bedrijf contactinformatie heeft krijgen een e-mail.

Door de bug die op 29 februari werd ontdekt, kan Let’s Encrypt de authenticiteit van een groot aantal certificaten niet meer verifiëren. Het bedrijf beschrijft de fout op een pagina en meldt daar dat de bug waarschijnlijk sinds 25 juli vorig jaar actief was.

Let’s Encrypt gaat de getroffen certificaten vanaf woensdag intrekken. Het gaat om ruim drie miljoen certificaten en volgens de organisatie is dat 2,6 procent van het totale aantal actieve certificaten, dat momenteel 116 miljoen bedraagt. Website-eigenaren moeten het certificaat vernieuwen. Als hun e-mailadres bekend is bij Let’s Encrypt, krijgen ze daar een bericht over.

Het opgeven van een e-mailadres is echter optioneel bij het aanvragen van een Let’s Encrypt-certificaat. Daarom heeft de organisatie een tool online gezet waarmee admins kunnen controleren of certificaten zijn getroffen door de bug. Ook staat er een volledige lijst online met alle serienummers van de certificaten die ingetrokken zullen worden.