Безопасность не для всех. Кому Let’s Encrypt официально запретил выдавать бесплатные SSL-сертификаты

Let’s Encrypt добавил в пользовательское соглашение новое условие для запроса, получения и использования SSL/TLS-сертификатов. Получатель сертификата теперь должен подтверждать, что не подпадает под полные санкции США и ограничения американского экспортного контроля. Изменение затрагивает один из самых известных бесплатных удостоверяющих центров, который широко используют сайты, хостинги и системы автоматической настройки HTTPS.

Новое правило появилось в версии Subscriber Agreement 1.7 от 4 июня 2026 года. В разделе с гарантиями получателя сертификата указано, что пользователь не должен находиться, быть зарегистрированным или обычно проживать в стране либо на территории, против которой действуют полные санкции США.

Фрагмент обновленного соглашения Let’s Encrypt с пунктом о санкциях США и экспортных ограничениях.

Ограничение также охватывает лиц и организации из санкционных списков, участников экспортных ограничений, компании под контролем таких лиц и структуры, действующие от их имени. Получатель отдельно подтверждает, что будет использовать сертификаты Let’s Encrypt и сервисы Internet Security Research Group с соблюдением применимых правил США об экспортном контроле и санкциях.

Internet Security Research Group управляет Let’s Encrypt и зарегистрирована в США, поэтому должна соблюдать требования американских регуляторов. Обновленное соглашение опубликовано в репозитории документов Let’s Encrypt вместе с другими юридическими материалами удостоверяющего центра.

Формулировка вызвала спор в обсуждении на Hacker News. Читатели обратили внимание, что текст соглашения выглядит шире, чем запрет только для государственных структур: в документе говорится о физических лицах и организациях, которые находятся, зарегистрированы или обычно проживают на территории под полными санкциями США.

Представитель Let’s Encrypt в обсуждении пояснил, что сертификаты продолжают быть доступными в Иране и России, но сервис не обслуживает государственные структуры Ирана и России. По его словам, обновление условий не меняет ситуацию для этих стран, а уточняет уже действующую практику соблюдения требований закона.

В другом комментарии представитель Let’s Encrypt указал, что соблюдение санкционных правил устроено сложнее, чем следует из буквального чтения соглашения. По его словам, сервис может выпускать сертификаты для негосударственных пользователей в Иране и России благодаря законным исключениям для личных коммуникаций и разрешениям Управления по контролю за иностранными активами Минфина США, связанным со свободой интернета и правами человека.

Представитель проекта также признал, что текст соглашения можно сделать понятнее. В отдельном комментарии по Крыму Let’s Encrypt уточнил, что жители региона могут пользоваться сервисом, однако государственные структуры в Крыму удостоверяющий центр не обслуживает.

Пока неясно, приведет ли новая формулировка к дополнительной технической блокировке запросов из отдельных сетей или закрепляет уже действующую практику. Раньше Let’s Encrypt применял точечные ограничения: сертификат могли не выдать для конкретных доменов, связанных с санкционными списками. Один из таких случаев обсуждался на форуме сообщества.

Проверка санкционных ограничений в США ведется через списки Управления по контролю за иностранными активами Минфина США. Поиск по ним доступен через OFAC Sanctions List Search, а перечень санкционных программ опубликован на сайте OFAC.

Под полные санкции США обычно подпадают Куба, Иран, КНДР и Сирия, а также отдельные территории, включая Крым, ДНР и ЛНР. В отношении России действует отдельный санкционный режим, но полного эмбарго США на страну не вводили. Публичных данных о массовой блокировке российских запросов на выпуск сертификатов Let’s Encrypt пока нет.