知名憑證發行商Let's Encrypt於3/4(三)宣布，由於他們使用的CA驗證軟體Boulder出現BUG，預計將撤銷約300萬張已發行至市面上的SSL憑證，此舉被國外網友調侃:「Let's Encrypt應該改名為Let's Revoke！」。

依照正常流程，當用戶向Let's Encrypt申請SSL憑證時，Boulder會驗證用戶是否擁有該域名的使用權，並檢查該域名的CAA紀錄(Certificate Authority Authorization)是否已指定Let's Encrypt作為憑證發行商，隨後在憑證正式發行之前，Boulder會再一次檢查域名的CAA紀錄。

但Let's Encrypt發現，若用戶申請的憑證類型為「多域名(Multi Domain)憑證」，Boulder僅會挑選其中一筆域名來再次驗證CAA紀錄，也造成即使其它域名未在紀錄中指定Let's Encrypt為憑證發行商，仍可能取得該張憑證。

舉例來說，假設某用戶申請的多域名憑證中包含了6筆不同域名，但Boulder僅隨機挑選其中一筆來檢查CAA紀錄，其它5筆則未檢查，但憑證發行後，效力是包含所有域名的，而這明顯違反了現今的資安規定。

Let's Encrypt表示將透過Email通知受到影響的用戶們並開始進行憑證撤銷，也分享了一個工具讓用戶檢測自己的網站是否使用了有問題的憑證。