Let’s Encrypt обновил соглашение подписчика и добавил прямое условие о соблюдении санкций США при запросе, принятии и использовании сертификатов. Ограничение затрагивает людей и организации, которые находятся, зарегистрированы или обычно проживают в странах и территориях под комплексными санкциями США, а также запрещённые стороны по санкционным и экспортным правилам. Для российских владельцев сайтов это не означает автоматическую потерю Let’s Encrypt: риск возникает, если сам заявитель, провайдер, владелец сайта или организация, выпускающая сертификат от имени клиента, подпадает под санкционные или экспортные ограничения США.
Новое соглашение Let’s Encrypt связывает выпуск сертификатов с санкционным статусом заявителя
В официальном репозитории политик Let’s Encrypt появилась версия Subscriber Agreement 1.7 от 4 июня 2026 года. Let’s Encrypt работает под управлением некоммерческой организации Internet Security Research Group (ISRG), поэтому юридические условия оформлены через документы ISRG и Let’s Encrypt в Policy and Legal Repository.
Главное изменение находится в разделе 3.1 Warranties. При запросе, принятии или использовании сертификата пользователь подтверждает, что он относится к допустимой категории заявителей. В документ добавлено условие: заявитель не должен находиться, быть зарегистрированным или обычно проживать в стране или территории, которая является целью комплексных санкций США. Такое же ограничение распространяется на запрещённые и ограниченные стороны по санкционным и экспортным правилам, а также на структуры, которыми такие лица владеют или которые они контролируют.
На практике это превращает санкционный статус в часть стандартной проверки ответственности подписчика. Let’s Encrypt по-прежнему выдаёт сертификаты через ACME, но договор теперь прямо связывает использование сервиса с американскими экспортными и санкционными законами.
Ограничение касается заявителя, а не только доменной зоны
Важная деталь: формулировка соглашения говорит о человеке или организации, которая запрашивает, принимает или использует сертификат. В тексте нет отдельного правила вида «все домены определённой зоны автоматически блокируются». Центр тяжести смещён к юридическому статусу подписчика: где он находится, где зарегистрирован, под чьими законами действует и связан ли с запрещёнными сторонами.
Для владельцев сайтов это создаёт менее очевидный риск, чем обычная техническая ошибка ACME. Сертификат может не выпуститься из-за юридического ограничения, хотя DNS, HTTP-валидация, CAA-записи и сам веб-сервер настроены корректно.
Особенно чувствительными становятся автоматические продления. Многие сайты используют Certbot, acme.sh, встроенные панели хостинга или Kubernetes-интеграции, где TLS-сертификаты обновляются без ручного участия администратора. Если сервис перестанет принимать запросы от конкретного заявителя, проблема проявится ближе к истечению срока действия сертификата.
Старые сертификаты тоже завязаны на актуальность гарантий подписчика
В версии 1.7 Let’s Encrypt отдельно указывает, что соглашение действует весь срок жизни сертификата, включая периоды автоматического продления. Если гарантии из раздела 3.1 перестают быть верными, подписчик должен запросить отзыв затронутых сертификатов. В документе также сказано, что ISRG может отказать в выдаче сертификата по законному основанию, даже если оно отдельно не перечислено в соглашении.
Это важный момент для компаний с распределённой структурой. Один и тот же сайт может обслуживаться командой в одной стране, принадлежать юридическому лицу в другой и размещаться у хостинг-провайдера в третьей. Для обычного администратора TLS выглядит как техническая операция, но в документах Let’s Encrypt она связана с юридическими гарантиями владельца или уполномоченного представителя.
Изменение затронет хостинг, панели управления и автоматизацию TLS
Самый заметный практический эффект будет у сервисов, которые автоматически выпускают бесплатные сертификаты Let’s Encrypt для клиентов. Это хостинги, облачные панели, CDN, PaaS-платформы и SaaS-сервисы с пользовательскими доменами.
Для таких платформ вопрос становится организационным. Нужно понимать, кто считается подписчиком в конкретной схеме: сам клиент, провайдер от имени клиента или отдельная управляющая организация. От этого зависит, чьи гарантии применяются к сертификату и где может возникнуть отказ.
Для небольших сайтов риск выглядит проще: если Let’s Encrypt становится недоступен из-за санкционного статуса, потребуется заранее выбрать другой центр сертификации, поддерживающий нужный юридический сценарий. При этом браузеры доверяют только центрам сертификации, включённым в корневые хранилища, поэтому самодельный сертификат решает задачу шифрования лишь внутри контролируемой инфраструктуры, а для публичного сайта создаёт предупреждения безопасности.
Санкционный список требует аккуратной интерпретации
Фраза «страны под санкциями США» звучит шире, чем юридическая формулировка в соглашении. В документе используется выражение «comprehensive U.S. sanctions» — комплексные санкции США. Это отдельная категория, связанная с ограничениями OFAC и экспортным контролем; она отличается от точечных санкций против отдельной компании, чиновника, отрасли или финансового инструмента.
Из-за этого новость легко трактовать слишком широко. Сам факт санкций против страны, отрасли или конкретных лиц ещё не означает одинаковый запрет для всех владельцев сайтов из этой юрисдикции. Реальное применение зависит от конкретной программы санкций, статуса заявителя, структуры владения и того, кто именно запрашивает сертификат.
Для администраторов практический ориентир простой: проверять нужно не только домен и сервер, но и юридическую сторону выпуска сертификата. Особенно это касается проектов, связанных с международным хостингом, клиентскими доменами, реселлингом сертификатов и автоматической выдачей TLS в панели управления.
Для российских владельцев сайтов риск зависит от того, кто считается заявителем
В новой версии Subscriber Agreement нет отдельной фразы о запрете всех доменов в зонах .ru, .рф или .su. Let’s Encrypt говорит о подписчике: человеке, компании или организации, которая запрашивает, принимает или использует сертификат. Поэтому российская доменная зона сама по себе не выглядит отдельным техническим критерием отказа. Существеннее юридический статус владельца сайта, хостинг-провайдера, панели управления или компании, которая выпускает сертификат от имени клиента.
Для российских пользователей возможны три практических сценария:
Первый — сертификаты продолжают выпускаться как раньше, если заявитель не подпадает под ограничения, а ACME-клиент проходит обычную проверку домена.
Второй — выпуск или продление ломается у конкретной организации, если она находится в санкционных списках, контролируется запрещённой стороной или попадает под экспортные ограничения.
Третий — проблема возникает не у владельца сайта напрямую, а у хостинга, CDN или панели, через которую автоматически создаются сертификаты Let’s Encrypt.
США поддерживают отдельный режим санкций, связанный с российской внешней активностью, и OFAC публикует для него генеральные лицензии, включая лицензию на телекоммуникации и часть интернет-коммуникаций. Это делает некорректной грубую трактовку в стиле «весь российский интернет теряет Let’s Encrypt», но не отменяет требования Let’s Encrypt соблюдать санкционные и экспортные правила США. Официальная страница OFAC по российским санкциям отдельно перечисляет Russia-related General License 25G для телекоммуникаций и некоторых интернет-коммуникаций: Russian Harmful Foreign Activities Sanctions.
Главное последствие для российских администраторов — неопределённость при автоматическом продлении. Если сайт зависит от Certbot, acme.sh, панели хостинга, Kubernetes cert-manager или CDN с автоматической выдачей Let’s Encrypt, отказ может проявиться в момент renewal. Визуально это будет выглядеть как обычная ошибка продления сертификата, хотя причина может находиться в юридическом статусе заявителя или провайдера.
Практический запас прочности здесь понятен: мониторинг срока действия TLS, проверка логов ACME-клиента, резервный центр сертификации и понимание того, кто именно указан подписчиком при выпуске сертификата. Для публичных сайтов самоподписанный сертификат остаётся аварийным вариантом только для закрытой инфраструктуры: браузеры будут показывать предупреждение, если такой сертификат не связан с доверенным корневым центром.
Главный риск связан с внезапным сбоем продления сертификата
Обновление соглашения Let’s Encrypt показывает, что бесплатная автоматическая выдача TLS-сертификатов остаётся частью регулируемой инфраструктуры. Для большинства сайтов ничего не изменится: сертификаты продолжат выпускаться через привычные ACME-клиенты, а администраторы будут видеть тот же процесс продления.
Для проектов, связанных с санкционными юрисдикциями, запрещёнными сторонами или сложной структурой владения, ситуация требует отдельной проверки. Самая неприятная точка отказа здесь — не первый выпуск сертификата, а тихое автоматическое продление, которое внезапно перестаёт работать за несколько дней до истечения срока. В такой схеме запасной центр сертификации и мониторинг срока действия TLS становятся частью базовой устойчивости сайта.
