- 27,436
- 46
- 8 Ноя 2022
Крупнейший сервис выдачи сертификатов внес политику OFAC в свои документы.
Let’s Encrypt добавил в пользовательское соглашение прямой запрет на выдачу SSL/TLS-сертификатов пользователям и организациям из стран и территорий под полными санкциями США. Изменение затрагивает один из самых массовых удостоверяющих центров: сервис бесплатно выпускает сертификаты для сайтов и часто используется в автоматической настройке HTTPS.
Новое правило появилось в версии Subscriber Agreement 1.7 от 4 июня 2026 года. В разделе с гарантиями получателя сертификата теперь указано, что заявку не может подавать физическое лицо или организация, находящиеся, зарегистрированные или постоянно проживающие в стране либо на территории, против которой действуют полные санкции США.
<em>Фрагмент обновленного соглашения Let’s Encrypt с пунктом о санкциях США и экспортных ограничениях.</em>
Ограничение также распространяется на участников санкционных списков, лиц под экспортными ограничениями, компании под контролем таких лиц и структуры, действующие в их интересах. Получатель сертификата отдельно подтверждает, что будет использовать сертификаты Let’s Encrypt и сервисы Internet Security Research Group с соблюдением американских правил экспортного контроля и санкционного законодательства.
Internet Security Research Group управляет Let’s Encrypt и зарегистрирована в США, поэтому должна соблюдать требования американских регуляторов. Обновленное соглашение опубликовано в репозитории документов Let’s Encrypt вместе с другими юридическими материалами удостоверяющего центра.
Формулировка вызвала спор в обсуждении на Hacker News . Читатели обратили внимание, что текст соглашения выглядит шире, чем запрет только для государственных структур: в документе говорится о физических лицах и организациях, которые находятся, зарегистрированы или обычно проживают на территории под полными санкциями США.
Представитель Let’s Encrypt в обсуждении пояснил, что сертификаты продолжают быть доступными в Иране и России, но сервис не обслуживает государственные структуры Ирана и России. По его словам, обновление условий не меняет ситуацию для этих стран, а уточняет уже действующую практику соблюдения требований закона.
В другом комментарии представитель Let’s Encrypt указал, что соблюдение санкционных правил устроено сложнее, чем следует из буквального чтения соглашения. По его словам, сервис может выпускать сертификаты для негосударственных пользователей в Иране и России благодаря законным исключениям для личных коммуникаций и разрешениям Управления по контролю за иностранными активами Минфина США, связанным со свободой интернета и правами человека.
Представитель проекта также признал, что текст соглашения можно сделать понятнее. В отдельном комментарии по Крыму Let’s Encrypt уточнил, что жители региона могут пользоваться сервисом, однако государственные структуры в Крыму удостоверяющий центр не обслуживает.
Пока неясно, приведет ли новая формулировка к дополнительной технической блокировке запросов из отдельных сетей или закрепляет уже действующую практику. Раньше Let’s Encrypt применял точечные ограничения: сертификат могли не выдать для конкретных доменов, связанных с санкционными списками. Один из таких случаев обсуждался на форуме сообщества .
Проверка санкционных ограничений в США ведется через списки Управления по контролю за иностранными активами Минфина США. Поиск по ним доступен через OFAC Sanctions List Search , а перечень санкционных программ опубликован на сайте OFAC .
Под полные санкции США обычно подпадают Куба, Иран, КНДР и Сирия, а также отдельные территории, включая Крым, ДНР и ЛНР. В отношении России действует отдельный санкционный режим, но полного эмбарго США на страну не вводили. Публичных данных о массовой блокировке российских запросов на выпуск сертификатов Let’s Encrypt пока нет.
Let’s Encrypt добавил в пользовательское соглашение прямой запрет на выдачу SSL/TLS-сертификатов пользователям и организациям из стран и территорий под полными санкциями США. Изменение затрагивает один из самых массовых удостоверяющих центров: сервис бесплатно выпускает сертификаты для сайтов и часто используется в автоматической настройке HTTPS.
Новое правило появилось в версии Subscriber Agreement 1.7 от 4 июня 2026 года. В разделе с гарантиями получателя сертификата теперь указано, что заявку не может подавать физическое лицо или организация, находящиеся, зарегистрированные или постоянно проживающие в стране либо на территории, против которой действуют полные санкции США.
<em>Фрагмент обновленного соглашения Let’s Encrypt с пунктом о санкциях США и экспортных ограничениях.</em>
Ограничение также распространяется на участников санкционных списков, лиц под экспортными ограничениями, компании под контролем таких лиц и структуры, действующие в их интересах. Получатель сертификата отдельно подтверждает, что будет использовать сертификаты Let’s Encrypt и сервисы Internet Security Research Group с соблюдением американских правил экспортного контроля и санкционного законодательства.
Internet Security Research Group управляет Let’s Encrypt и зарегистрирована в США, поэтому должна соблюдать требования американских регуляторов. Обновленное соглашение опубликовано в репозитории документов Let’s Encrypt вместе с другими юридическими материалами удостоверяющего центра.
Формулировка вызвала спор в обсуждении на Hacker News . Читатели обратили внимание, что текст соглашения выглядит шире, чем запрет только для государственных структур: в документе говорится о физических лицах и организациях, которые находятся, зарегистрированы или обычно проживают на территории под полными санкциями США.
Представитель Let’s Encrypt в обсуждении пояснил, что сертификаты продолжают быть доступными в Иране и России, но сервис не обслуживает государственные структуры Ирана и России. По его словам, обновление условий не меняет ситуацию для этих стран, а уточняет уже действующую практику соблюдения требований закона.
В другом комментарии представитель Let’s Encrypt указал, что соблюдение санкционных правил устроено сложнее, чем следует из буквального чтения соглашения. По его словам, сервис может выпускать сертификаты для негосударственных пользователей в Иране и России благодаря законным исключениям для личных коммуникаций и разрешениям Управления по контролю за иностранными активами Минфина США, связанным со свободой интернета и правами человека.
Представитель проекта также признал, что текст соглашения можно сделать понятнее. В отдельном комментарии по Крыму Let’s Encrypt уточнил, что жители региона могут пользоваться сервисом, однако государственные структуры в Крыму удостоверяющий центр не обслуживает.
Пока неясно, приведет ли новая формулировка к дополнительной технической блокировке запросов из отдельных сетей или закрепляет уже действующую практику. Раньше Let’s Encrypt применял точечные ограничения: сертификат могли не выдать для конкретных доменов, связанных с санкционными списками. Один из таких случаев обсуждался на форуме сообщества .
Проверка санкционных ограничений в США ведется через списки Управления по контролю за иностранными активами Минфина США. Поиск по ним доступен через OFAC Sanctions List Search , а перечень санкционных программ опубликован на сайте OFAC .
Под полные санкции США обычно подпадают Куба, Иран, КНДР и Сирия, а также отдельные территории, включая Крым, ДНР и ЛНР. В отношении России действует отдельный санкционный режим, но полного эмбарго США на страну не вводили. Публичных данных о массовой блокировке российских запросов на выпуск сертификатов Let’s Encrypt пока нет.
- Источник новости
- www.securitylab.ru
