Let's Encrypt heeft besloten om na het vinden van een bug een miljoen certificaten toch niet in te trekken. Het intrekken zou wellicht onrust veroorzaken onder bezoekers van de desbetreffende websites. Enkele honderden zijn wel ingetrokken.
Let's Encrypt-topman Josh Aas zegt in een update dat het goed is voor 'de gezondheid van het internet' om de certificaten niet in te trekken. "Let's Encrypt heeft alleen certificaten die negentig dagen geldig blijven, dus mogelijk getroffen certificaten die we niet intrekken, zullen het ecosysteem snel verlaten", aldus Aas.
Vanwege een gevonden bug wilde Let's Encrypt drie miljoen certificaten intrekken. Daaronder waren ook veel certificaten van Nederlandstalige sites. Daarvan blijven uiteindelijk 445 certificaten over, die donderdag door de organisatie worden ingetrokken.
In de afgelopen twee dagen zijn er al meer dan 1,7 miljoen certificaten vervangen. Door de bug die op 29 februari werd ontdekt, kan Let's Encrypt de authenticiteit van een groot aantal certificaten niet meer verifiëren. Het bedrijf beschrijft de fout op een pagina en meldt daar dat de bug waarschijnlijk sinds 25 juli vorig jaar actief was.
Update, vrijdag, 13.10: Titel en lead zijn aangepast op basis van feedback van CyBeR en CH4OS.