Некоммерческий удостоверяющий центр Let's Encrypt, который предоставляет сертификаты TLS бесплатно, изменил пользовательское соглашение. В документ версии 1.7 от 4 июня 2026 года добавлен пункт, прямо запрещающий выдачу сертификатов лицам и организациям, постоянно проживающим или зарегистрированным в странах и на территориях, на которые распространяются полномасштабные (comprehensive) санкции США.
Обновлённое соглашение вступает в силу после публикации. Организация Let's Encrypt, зарегистрированная в США, ссылается на необходимость соблюдения правил экспортного контроля и санкционного законодательства Соединённых Штатов. Соответствующий раздел теперь требует от заявителя подтверждения, что он не является субъектом ограничений, указанных в законодательстве США о санкциях и экспортном контроле.
Ключевое изменение - не просто включение отсылки к закону, а превращение отсутствия санкционных рисков в безусловную гарантию (warranty) со стороны получателя сертификата. Раньше Let's Encrypt применял точечные блокировки по доменам, прямо перечисленным в санкционных списках управления по контролю за иностранными активами США (OFAC). Теперь же ограничение становится персональным: условие касается самого заявителя - юридического или физического лица.
Формально это означает, что пользователь при каждом запросе сертификата через протокол ACME (Automated Certificate Management Environment, протокол для автоматизации управления сертификатами) гарантирует, что не находится под санкциями. Соглашение также предусматривает, что под запрет подпадают организации, контролируемые подсанкционными лицами, или те, кто действует от их имени. Таким образом, риск перекладывается на пользователя: если он предоставил недостоверные данные, Let's Encrypt имеет право отозвать сертификат и применить иные меры, включая раскрытие информации регулирующим органам.
На данный момент неясно, является ли это изменение чисто формальным шагом, отражающим уже применявшуюся практику, или за ним последуют технические меры блокировки. Пока что процесс получения сертификатов для, например, российских IP-адресов работает без ограничений. В соглашении не уточняется, будет ли Let's Encrypt сверять геолокацию запрашивающего или полагаться исключительно на декларацию пользователя.
Отдельного внимания заслуживает перечень стран, подпадающих под "полномасштабные санкции". Американское законодательство в настоящее время включает в этот список Крым, ДНР, ЛНР, Иран, КНДР и Кубу. Для России действуют жёсткие секторальные санкции, но не полное экономическое эмбарго. Однако формулировки соглашения сформулированы достаточно широко, и изменение статуса подсанкционных территорий со стороны OFAC может автоматически повлиять на применение этого пункта.
Сам пункт в соглашении выглядит так: "Вы не являетесь лицом или организацией, которые: (a) находятся, зарегистрированы в соответствии с законами или постоянно проживают в какой-либо стране или на территории, являющейся целью полномасштабных санкций США; (b) являются запрещённой или ограниченной стороной в соответствии с санкционным или экспортным законодательством США; или (c) контролируются или действуют от имени любого лица, описанного в (a) или (b). Вы соглашаетесь использовать сертификаты Let's Encrypt и любые услуги, предоставляемые ISRG, в соответствии с применимыми законами и правилами экспортного контроля и санкций США".
Публикация указывает на системную проблему для интернет-инфраструктуры в целом. Let's Encrypt является крупнейшим в мире удостоверяющим центром, выпускающим миллиарды сертификатов для сайтов по всему миру. Его сертификаты - основа HTTPS-соединений, без них браузеры показывают предупреждения о небезопасном соединении. Если Let's Encrypt начнёт активно блокировать запросы из подсанкционных стран, это может привести к массовым проблемам с доступом к шифрованному вебу на этих территориях.
Ситуация осложняется тем, что альтернативы у Let's Encrypt для бесплатных сертификатов ограничены. Другие центры сертификации (например, коммерческие) также обязаны соблюдать санкционное законодательство, но Let's Encrypt - самый массовый и автоматизированный канал. Его решение может быть сигналом к ужесточению практики для всей отрасли.
В текущей версии соглашения есть неопределённость: не прописан механизм технической реализации запрета. Блокировка может быть реализована на уровне отказа ACME-серверов обрабатывать запросы с IP-адресов из подсанкционных стран, либо Let's Encrypt оставит всё на совести пользователя. В любом случае, заявители из регионов, прямо перечисленных в санкционных списках, находятся под прямым риском отказа в обслуживании уже сейчас.
Изменение пользовательского соглашения Let's Encrypt - это не техническая уязвимость и не внезапный инцидент. Это регуляторный шаг, который формализует и расширяет требования к получателям сертификатов. Пока что меры носят декларативный характер, но само появление такого пункта создаёт правовую основу для будущих блокировок. Для специалистов по информационной безопасности это означает необходимость мониторинга дальнейших действий ISRG и OFAC, а также оценки рисков для инфраструктур, использующих бесплатные сертификаты в юрисдикциях, подпадающих под санкции. Новость иллюстрирует долгосрочный тренд на фрагментацию интернет-сервисов и усиление контроля за криптографической инфраструктурой как инструмента внешней политики.
