Что случилось
Lets Encrypt обновил пользовательское соглашение и добавил пункт, который запрещает выдавать сертификаты людям и организациям, постоянно живущим или зарегистрированным в странах и регионах под «полномасштабными» санкциями США. Под запрет также попадают персонально санкционированные лица, компании из списков экспортного контроля и структуры, которые они контролируют или от имени которых действуют. Причина банальна: LE юридически находится в США и обязан формально подчиняться американскому экспортному и санкционному регулированию.
Пока непонятно, останется ли это только бумажной формальностью или появятся реальные технические блокировки по странам и подсетям, а не только по конкретным доменам. До изменения текста LE в основном делал точечные блоки по доменам из списков OFAC, не режа всю страну целиком.
Кого это реально касается
Полный пакет санкций США сейчас действует против Крыма, ДНР, ЛНР, Ирана, КНДР и Кубы. Против России санкции жёсткие, но формально это ещё не тот самый «полный эмбарго», поэтому запросы из РФ на обычные несанкционные домены продолжают проходить.
Директор ISRG (той самой некоммерческой конторы, под которой живёт Lets Encrypt) отдельно пояснил, что сертификаты продолжат выдавать частным лицам и негосударственным компаниям из Ирана и России. Но для госорганов РФ и Ирана краник уже закрыт: для них LE недоступен, и это уже зафиксировано прямым текстом.
Почему они могут «жить по понятиям, а писать по закону»
По словам представителя Lets Encrypt, изменение ToS — это скорее легализация давно сложившейся практики, чем запуск новых блокировок. Формально теперь есть пункт, которым можно показать регуляторам: «смотрите, мы всё соблюдаем», а на практике LE может продолжать работать максимально нейтрально, пока ему не выкрутят руки сильнее.
Возможность выдавать сертификаты частникам на подсанкционных территориях им даёт американское законодательство: защита частной переписки плюс отдельные послабления OFAC под соусом прав человека и свобод доступа в интернет. То есть подход примерно такой: госструктурам — «нет», обычным юзерам и бизнесу — «ладно, живите пока».
Что это значит для админа из РФ
На сегодня для .ru и несанкционных доменов всё ещё можно спокойно крутить ACME, cert-manager, acme.sh и получать сертификаты из РФ без плясок с VPN. Но сам факт появления такого пункта говорит: стул под ногами начали подпиливать официально, и в какой‑то момент могут не только домены из списков, но и целые страны закрыть на уровне политики.
Локальные альтернативы вроде национальных УЦ теоретически могут заменить LE для внутренних сервисов, но снаружи они смотрятся как опасные ресурсы: их корневым сертификатам мировые браузеры и крупные сервисы доверять не спешат. Поэтому сценарий «используем местный УЦ и нас везде любят» в глобальном интернете не взлетит, а при полном отрезании LE останется либо VPN к «нормальному» УЦ, либо жизнь в режиме самоподписанных и ручных исключений.