De non-profit certificaatautoriteit Let’s Encrypt heeft via hun community website laten weten een bug gevonden te hebben in hun CA-software. De software, genaamd ‘Boulder’, is verantwoordelijk voor het verifiëren van zogenaamde CAA-records ter controle van de legitimiteit van een certificaataanvraag. Domeineigenaren kunnen ervoor kiezen een CAA-record op te nemen in de zonefile van hun domeinnaam, waardoor de kans op misbruik van onechte certificaten beperkt wordt.

Certificaten die uitgegeven zijn onder de omstandigheden waar de gemelde bug zich manifesteerde, zullen echter worden ingetrokken, aldus de certificaatautoriteit.

Waarop heeft de bug betrekking?

In de meeste gevallen wordt een certificaat aangevraagd direct na de domeinvalidatie. De domeinvalidatie zelf heeft een geldigheid van 30 dagen, echter de CAA-controle heeft een kortere geldigheidsduur, te weten 8 uur. Dit betekent dat het voor kan komen dat wanneer een certificaataanvraag buiten deze 8 uur valt, er voor deze domein een nieuwe controle nodig is.

Ben ik getroffen?

Neemt u een betaald certificaat bij ons af, dan bent u niet getroffen door deze bug en hoeft u geen actie te ondernemen. Heeft u een Private Hosting Server en maakt u daar gebruik van een gratis Let’s Encrypt certificaat, dan kunt u via de onderstaande link controleren of u kwetsbaar bent:

https://unboundtest.com/caaproblem.html

Meer informatie:

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
https://unboundtest.com/caaproblem.html
https://letsencrypt.org/caaproblem/