The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Lets Encrypt добавил в пользовательское соглашение запрет на выдачу сертификатов для стран под санкциями США

10.06.2026 09:21 (MSK)

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, внёс изменение в пользовательское соглашение, определяющее права и обязанности получателей сертификатов. В секцию с условиями запроса и использования сертификатов добавлен пункт, не допускающий выдачу сертификатов для физических лиц и организаций, постоянно проживающих или зарегистрированных в странах или на территориях, на которые распространяются полномасштабные (comprehensive) санкции США.

Помимо этого под запрет подпадают лица и организации, являющиеся объектом персональных санкций и ограничений экспортного контроля США, а также организации, контролируемые лицами, подпадающими под санкции, или действующие от их имени. Отмечается, что организация Let's Encrypt зарегистрирована в США и обязана выполнять правила экспортного контроля и санкции, действующие в США.

Пока не понятно, является ли изменение пользовательского соглашения формальностью, отражающую уже применимую практику, или будут реализованы дополнительные меры блокировки запросов из подсетей для стран, подпадающих под санкции. До сих пор в Let's Encrypt применялись точечные блокировки, не позволяющие получить сертификат для конкретных доменов, перечисленных в санкционных списках управления по контролю за иностранными активами США (OFAC, Office of Foreign Assets Control).

Полномасштабные санкции США введены против Крыма, ДНР, ЛНР, Ирана, КНДР и Кубы. Против РФ введены жёсткие санкции, но пока не применяется полный эмбарго. В данный момент запросы к Let's Encrypt на получение сертификатов из РФ для доменов, не упомянутых в санкционных списках, принимаются без ограничений.

Дополнение: Комментируя изменение пользовательского соглашения, директор организации ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt, пояснил, что сертификаты продолжат выдаваться для частных лиц и негосударственных компаний из Ирана и России, но не будут доступны для российских и иранских госучреждений. По словам представителя Let's Encrypt, изменения лишь документируют давно сложившуюся практику для выполнения юридических формальностей и никаких новых блокировок не последует.

Возможность предоставлять сертификаты для негосударственных учреждений и частных лиц на подсанкционных территориях обеспечивается благодаря действующим в США законам о защите частной переписки и послаблениям, принятым Управлением по контролю за иностранными активами (OFAC) для содействия соблюдению прав человека и свобод в интернете.



  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC
  3. OpenNews: Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты
  4. OpenNews: Let's Encrypt уменьшит срок действия сертификатов до 45 дней
  5. OpenNews: Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов
  6. OpenNews: NS-сервера домена .top прекратили обслуживание запросов валидации Let's Encrypt
Лицензия: CC BY 3.0
Наводку на новость прислал Artem S. Tashkinov
Короткая ссылка: https://opennet.ru/65656-letsencrypt
Ключевые слова: letsencrypt, cert, block
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Alcher (ok), 09:47, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Неделю назад уже фиксировались проблемы с выдачей для одной коммерческой организации, просто московская контора.
     
  • 1.4, aname (ok), 10:04, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    > против Крыма, ДНР, ЛНР

    Не видно

     
  • 1.5, dalco (ok), 10:16, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Твою ж дивизию, у нашей конторы пара сотен сертификатов от LE наберётся, и часть из них на .ru домены.
    Я уж думал - всё, крутись как хочешь. Ан, нет, поживём ещё.
     
     
  • 2.7, ryoken (ok), 11:02, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Кажется, лучше запасаться соломой уже сейчас. Вангую - будет еще шаг, где кран закроют прям совсем :D.
     
     
  • 3.11, dalco (ok), 11:18, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    acme.sh и его аналоги, вроде как, жестко гвоздями к LE не прибиты. Осталось найти альтернативы, которые по тому же протоколу работают и благосклонно принимаются во всём мире. Надеюсь, такие найдутся.
     

  • 1.6, Жироватт (ok), 10:23, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    И это прекрасно, на самом деле: раз в ход пошли (на самом деле там юристы просто решили пока hide ass в отношении экспортных законов штатов, но это первый шаг) системы, которые изначально проектировались, как средство цензурирования и теневого бана неугодных (не продлили серт - сайт для всех умер, браузеры хттп уже переваривают слабо, отключение - дело времени) - а значит специально выводились как белые, опенсорцные и вообще белые и пушистые, то видать совсем там "хорошо" с ограничениями.

    Это как с реестром Ллойда: пока все суда страховались там и база ВСЕХ перемещений ВСЕХ судов со ВСЕМИ временными рамками для МИ6 была вообще как на ладони. Сейчас же, когда решили вычеркнуть санкциями русских - через полгода уже люто выли "а чойта русские нам не докладывают размеры своего флота и свои перемещения! И бабос за это не плотют! Эта ниисправедлива! Тинивой флот!11".

    Приветствую превращение "демокрадического" цензора из тайного в явного

     
     
  • 2.27, gduh6 (ok), 11:51, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Типа что у нас ввели штраф 700 000 за то что на сайте можно залогиниться через Гугл это нормально?
     

  • 1.8, ckotinko (ok), 11:11, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Значит надо сделать свой аналог LE. Пусть кривой, косой, но сделать можно.

    Сделать инструкцию как поставить сертификат в винде и повесить например на госуслугах вместе со ссылкой. Программы для установки вручную есть, и сделать такую же можно.

    Проблема решаема. Чего ныть.

     
     
  • 2.10, mshewzov (ok), 11:16, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    По-моему есть такое и на сайте Минцифры, и на сайте Сбера, и многих других банков. Только не помню, сертификаты ГОСТ там, или обычные.
     
     
  • 3.13, тоже Аноним (ok), 11:23, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    SSL - это про доверие к подписи.
    Сертификатам от Минцифры в мире доверяют меньше, чем самоподписанным.
     
     
  • 4.14, mshewzov (ok), 11:29, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > SSL - это про доверие к подписи.
    > Сертификатам от Минцифры в мире доверяют меньше, чем самоподписанным.

    Какой смысл в этом доверии, если их просто не будут выдавать?

     
     
  • 5.15, тоже Аноним (ok), 11:35, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не будут выдавать на халяву - придется покупать.
    Недоверенный центр эту проблему не решит никак.
     
     
  • 6.19, mshewzov (ok), 11:41, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Не будут выдавать на халяву - придется покупать.
    > Недоверенный центр эту проблему не решит никак.

    Санкции - это ни когда на халяву не дают, а за деньги дают. Это когда не дают в принципе ни за что, если ты из подсанкционной страны.

     
  • 4.16, ckotinko (ok), 11:35, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    пофигу на то что там в мире. мы уже давно не "в мире".
     
     
  • 5.26, Doctorrr (ok), 11:50, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    только те, кого ментально сломали и загнали в коробку
     
  • 2.28, gduh6 (ok), 11:51, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Зачем терпеть как ты?
     

  • 1.9, freehck (ok), 11:12, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Вы меня, конечно, извините, но вот же мерзкие козлы. Никакой веры им.

    "Сделаем мир лучше, сделаем мир безопаснее", — а потом выясняется, что "мир" — это далеко не весь мир, а только их мир. Как в старом анекдоте: "Я вот думал, что демократия — это власть народа, но товарищ Рузвельт только что доходчиво мне объяснил, что демократия — это власть американского народа".

    Что ж, гадость очередную они нам сделали, но гадость не критическую. Если закроют и РФ тоже — не беда: будем выписывать серты через LE из-под VPN. Но уже сейчас можно начинать смотреть в сторону альтернатив: в конце концов сейчас много кто ACME использует.

    Рассказывайте, народ, у кого есть опыт с аналогами? Кто юзал GosEncrypt? Как он, норм?

    Upd:
    Не, GosEncrypt мне не понравился. Пойду дальше смотреть. Вот есть у нас ещё НУЦ Минцифры ещё. Надо бы понять, как это добро конфигурировать в cert-manager том же. Насколько я понимаю, там всего одну ссылку поправить же... Но ещё б найти, на какую...

    Upd2:
    Порылся-порылся, но что-то не нашёл URL ACME-сервера НУЦ Минцифры.

     
     
  • 2.21, тоже Аноним (ok), 11:41, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Рассказывайте, народ, у кого есть опыт с аналогами?

    Вы сначала найдите аналог. Чтобы выдавал для зоны RU сертификат, по которому, например, связь с Google Sheets или Телеграмом не заканчивается "sertificate not verified".

     
     
  • 3.22, freehck (ok), 11:45, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > связь с Google Sheets или Телеграмом не заканчивается "sertificate not verified"

    Не, дорогой, PKI так не работает. Чёрта с два они CA-сертификат русского УЦ добавят в доверенные. )

    > sertificate

    C!

     
     
  • 4.25, тоже Аноним (ok), 11:49, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > C!

    Да, конечно. Ну так про то и речь, что сермяжно-посконно-замещенные - это вообще не сертификаты, а так, "метры керенок".

     
     
  • 5.29, freehck (ok), 11:57, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > сермяжно-посконно-замещенные - это вообще не сертификаты, а так, "метры керенок"

    Захотят от нас огородиться — огородятся: построят чебурнет точно так же, как и железный занавес когда-то построили. Но хорошо, что мир ими не ограничен.

     

  • 1.12, freehck (ok), 11:20, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > Отправка комментариев в данном обсуждении разрешена только зарегистрированным участникам.

    Вот позвольте, было бы так здорово, если бы это было под каждой новостью. У человека должно быть имя, а анонимы-флудеры только засоряют комментарии и мешают людям разговаривать.

    Ребята, комментируйте новость. Покажите Чиркову, что активность в комментариях может быть и без анонимов.

     
     
  • 2.24, gduh6 (ok), 11:49, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Тебя дурачка можно и без анонима посылать. Ты недалёкий.
     

  • 1.17, FSA (ok), 11:36, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Как я понял, это просто реакция на то, что этот центр сертификации использовали для того, чтобы заменить отозванный сертификат от другого центра сертификации для домена маха.
     
  • 1.18, Gemorroj (ok), 11:39, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > контролируемый сообществом
     
     
  • 2.20, freehck (ok), 11:41, 10/06/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > контролируемый сообществом

    да-да, сообществом

    ну это как "мир, основанный на правилах"

     

  • 1.23, gduh6 (ok), 11:48, 10/06/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Придется теперь и домен подтверждать через ВПН?
     



    Отправка комментариев в данном обсуждении разрешена только зарегистрированным участникам.
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру