Let's Encrypt schaltet die ältere Validierungsmethode TLS-SNI-01 auf Grund von Sicherheitsbedenken ab. Nutzer, die bei Let's Encrypt eine E-Mailadresse hinterlegt haben und diese Methode noch nutzen, wurden entsprechend vorgewarnt.
Let's Encrypt nutzt das über die IETF standardisierte Protokoll ACME (Automated Certificate Management Environment), welches verschiedene Verfahren nutzt, um zu prüfen, ob eine Domain einem Nutzer gehört. Bei TLS-SNI-01 wird der Besitzer mittels der TLS-Erweiterung SNI geprüft, was bedeutet, dass der Besitzer ein bestimmtes selbstsigniertes Zertifikat auf Anfrage des Servers kurzzeitig ausliefern muss. Im Januar 2018 fand Frans Rosén heraus, dass es bei vielen Hosting-Anbietern, wie auch Heroku und Amazon Cloudfront, möglich war, ein solches Zertifikat auch im Namen von anderen Usern auszuliefern. Da es wahrscheinlich war, dass ähnliche Probleme auch bei anderen Anbietern auftreten, entschied sich Let's Encrypt dazu, diese Methode zum 13. Februar komplett abzustellen. Alternative Validierungsmethoden bei Let's Encrypt sind HTTP, DNS und TLS-Erweiterung ALPN.
Die gängigste ACME-Software ist ein Programm namens Certbot. Versionen älter als 0.21 unterstützen nur die veraltete TLS-SNI-01-Methode. Die aktuelle Stable-Version von Debian Stretch verwendet eine deutlich ältere Version von Certbot. Dieses Problem steht bereits seit Ende Januar 2018 in einem Bugreport.