4 июня 2026 года Let's Encrypt тихо обновил пользовательское соглашение до версии 1.7. Новый пункт обязывает получателя сертификата подтвердить, что он не находится под полными санкциями США. В России это вызвало волну обсуждений — и не без причины. В Беларуси пока тихо. Но тихо — не значит «нас это не касается».
Что изменилось в соглашении
В разделе гарантий Subscriber Agreement 1.7 появился новый пункт. Пользователь подтверждает, что не находится, не зарегистрирован и не проживает на территории под полными санкциями США; не входит в санкционные списки OFAC; не является структурой, контролируемой такими лицами; и будет использовать сервисы ISRG в соответствии с правилами экспортного контроля.
Как технически работает блокировка
Важно понимать: Let's Encrypt не может массово отозвать действующие сертификаты без серьёзных технических последствий. Это привело бы к поломке миллионов сайтов по всему миру и подорвало бы доверие ко всей инфраструктуре PKI.
Вместо этого возможны три сценария:
Сценарий 1: Отказ в продлении (наиболее вероятный)
Ваши текущие сертификаты продолжают работать до истечения срока действия (90 дней).
При попытке продления
certbotилиacme.shполучает ошибку от API.У вас есть 90 дней на миграцию, но если вы используете автоматическое продление и не мониторите логи — узнаете о проблеме постфактум, когда сертификат истечёт.
Сценарий 2: Точечная блокировка по домену/IP
Let's Encrypt добавляет конкретные домены или IP-адреса в чёрный список.
Запросы на выпуск сертификатов для этих доменов отклоняются.
Действующие сертификаты для заблокированных доменов могут быть отозваны через CRL/OCSP.
Сценарий 3: Блокировка по геолокации (маловероятный)
Let's Encrypt блокирует запросы с IP-адресов из определённых стран.
Технически реализуемо, но создаст огромные проблемы с ложными срабатываниями (VPN, CDN, прокси).
Такой сценарий маловероятен для России и Беларуси, но возможен для стран под полными санкциями.
Вывод: Массовой мгновенной блокировки не будет. Проблема в том, что автоматическое продление сломается тихо — вы узнаете об этом только когда сертификат истечёт.
Опыт России и уроки для Беларуси
Технически Let's Encrypt продолжает выдавать сертификаты российским пользователям. Но нервозность в российском комьюнити понятна. Не из-за этого конкретного обновления, а из-за общей логики: зависимость от американской инфраструктуры в условиях непредсказуемого санкционного давления — это риск. Сегодня Let's Encrypt работает. А завтра политическое решение может изменить интерпретацию исключений OFAC, и никакого технического предупреждения не будет.
Формально Беларусь сейчас в более выгодном положении, чем Россия. Полных санкций США нет. Но санкционный ландшафт меняется быстро и непредсказуемо. Беларусь уже несколько лет живёт в режиме «что-то изменится — неизвестно когда и в какую сторону». Российские разработчики сегодня гуглят «альтернативы Let's Encrypt» — не потому что сертификаты перестали работать, а потому что думать об этом после того, как перестанут, уже поздно.
Бесплатные альтернативы
Существуют бесплатные замены Let's Encrypt:
ZeroSSL — самый простой вариант. Бесплатные сертификаты, поддерживает ACME-протокол, работает с теми же
certbotиacme.shбез переучивания. Зарегистрирован в Австрии.Google Trust Services — бесплатно через ACME, нужен аккаунт Google Cloud (бесплатный уровень подходит). Американская инфраструктура.
step-ca — если нужен собственный внутренний CA с ACME-поддержкой. Для микросервисов, VPN, внутренних инструментов. Разворачивается за несколько минут, клиенты те же.
В августе 2025 года норвежский удостоверяющий центр Buypass объявил о прекращении выдачи SSL-сертификатов, включая бесплатный сервис Go SSL. Это показывает, что даже надёжные европейские УЦ могут уйти с рынка. Поэтому не стоит полагаться на один источник — всегда имейте план миграции на альтернативный сервис.
Когда стоит перейти на платный сертификат
Если хочется не просто сменить «вывеску» с одного бесплатного ACME-сервера на другой, а полностью убрать зависимость от автоматических протоколов, которые в теории могут отключить, имеет смысл посмотреть в сторону платных сертификатов.
Россия уже несколько лет живёт в условиях санкций, и рынок SSL-сертификатов там адаптировался. Российские реселлеры предлагают сертификаты международных УЦ с оплатой в рублях. Цены начинаются от 1500-3000 RUB в год за DV-сертификат.
В Беларуси ситуация аналогичная, но рынок меньше и менее разнообразный. Тем не менее, местные реселлеры предлагают те же международные УЦ — GlobalSign, Sectigo, DigiCert — с оплатой в белорусских рублях. Цены начинаются от 29-40 BYN в год за базовый DV-сертификат, что примерно соответствует российским ценам с учётом курса.
Что это даёт белорусским компаниям? Во-первых, оплата в BYN по ЕРИП или безналу — не нужно думать о конвертации валют и международных переводах. Во-вторых, договор с белорусским юрлицом по местному законодательству — это закрывающие документы для налоговой без лишних вопросов. В-третьих, техподдержка на русском языке и в белорусском часовом поясе — не нужно ждать ответа от зарубежного саппорта. И наконец, отсутствие жёстких лимитов на выпуск сертификатов, которые есть у бесплатных ACME-серверов.
Есть и свои особенности. Белорусский рынок меньше, поэтому выбор реселлеров ограничен. Автоматизация через API развита слабее, чем в России, поэтому массовый выпуск сотен сертификатов может быть неудобным. Но если у вас десяток-другой доменов, этого достаточно.
Минус платных сертификатов тот же, что и везде — нет автоматического продления через ACME. Раз в год придётся генерировать CSR, проходить валидацию домена и вручную обновлять файлы на сервере. Но если у вас немного доменов, это 15 минут работы, а не критическая проблема.
Итог
Для белорусских разработчиков прямо сейчас ничего не изменилось — Let's Encrypt работает, новое соглашение их не касается. Но наблюдать за тем, как российское комьюнити спохватилось после обновления, — хороший повод потратить полчаса и проверить, насколько ваша инфраструктура зависит от одного американского сервиса.
Российский опыт показывает: покупка через местных реселлеров — рабочее решение, которое убирает зависимость от прямых платежей в США и даёт локальную техподдержку. Беларусь может использовать этот опыт, не дожидаясь кризиса. Тем более что рынок уже сформирован, цены адекватные, а процесс получения сертификата не отличается от российского.
Комментарии (31)
pae174
11.06.2026 14:58Let’s Encrypt не может массово отозвать действующие сертификаты без серьёзных технических последствий
У Let's Encrypt нет технических средств именно для отзыва сертификатов. Они не предоставляют OCSP вообще. Так что серты просто будут протухать постепенно.
https://habr.com/ru/news/934898/
Существуют бесплатные замены Let’s Encrypt:
ZeroSSL — самый простой вариант. Бесплатные сертификаты, поддерживает ACME-протокол, работает с теми же certbot и acme.sh без переучивания. Зарегистрирован в Австрии.
ZeroSSL не выдает сертификаты для RU и SU с марта 2022, и для BY тоже ещё.
https://help.zerossl.com/hc/en-us/articles/360060119833-Restricted-Countries
Google Trust Services — бесплатно через ACME, нужен аккаунт Google Cloud (бесплатный уровень подходит). Американская инфраструктура.
GTS уже год назад перестал выдавать сертификаты для *.spb.ru, например, для всех доменов в этой зоне, а их там вообще-то 11 тысяч.
https://habr.com/ru/news/910042/
покупка через местных реселлеров — рабочее решение, которое убирает зависимость от прямых платежей в США и даёт локальную техподдержку
А эти вот реселлеры это чьих сертификатов реселлеры? Потому что если они завязаны на американские или европейские компании, то и зависят от них в части санкций. Головная компания решит не выдавать сертификаты для RU - реселлер просто технически не сможет выдать сертификат для RU (и никакие такие платежи с поддержкой ему в этом деле не помогут).
atomlib
11.06.2026 14:58Мне кажется, текст попросту сгенерирован. В дополнение к фактическим ошибкам, на которые вы указали, есть и характерные стилистические особенности. Типичный пример:
Российские разработчики сегодня гуглят «альтернативы Let's Encrypt» — не потому что сертификаты перестали работать, а потому что думать об этом после того, как перестанут, уже поздно.
Вот так заключать фразу в кавычки и использовать в качестве члена предложения — частый приём у больших языковых моделей. А дальше там стоит тире и противопоставление, что БЯМ тоже обожают.
Схожие примеры с кавычками:
Беларусь уже несколько лет живёт в режиме «что-то изменится — неизвестно когда и в какую сторону».
В Беларуси пока тихо. Но тихо — не значит «нас это не касается».
Кстати, повторы модели тоже любят.
Также кавычки употребляются при малейшем оттенке переносного смысла:
просто сменить «вывеску»
Также есть характерные приёмы с дефисами: «ACME-поддержкой», «ACME-сервера», «DV-сертификат». Неоднократно наблюдал подобное в машинной писанине.
Наконец, срабатывают детекторы:
Текст в целом неплохой. У меня такое впечатление, что поработала платная нейросеть с reasoning.
Но в первую очередь на машинность текста указывают именно фактические ошибки, которые человек допустить не может. К примеру, как указывали в комментах, хотя ZeroSSL рекомендован в тексте в качестве замены и альтернативы, его сайт с российского айпишника попросту не открывается.
KonstantinTokar
11.06.2026 14:58Текст бессмысленный, уже из-за этого он плохой.
Проблема не из за того что LE что то может отозвать. Проблема системная и связана с тем, что контролируется инфраструктура Интернет одной страной. И лекарство от этого хуже болезни.
DirectoriX
11.06.2026 14:58его сайт с российского айпишника попросту не открывается
У меня, кстати, открывается, хотя я свой адрес никакими средствами не подменяю. http://ip-api.com и https://whatismyipaddress.com/ верно меня задетектировали в СПб, включая имя ISP и номер AS.
pae174
11.06.2026 14:58step-ca — если нужен собственный внутренний CA с ACME-поддержкой.
Это американская компания. Они даже сидят в одном здании с Anthropic.
Inskin
11.06.2026 14:58Он указан как внутренний - то есть внутри кластера куба использовать, например, для своих внутренних сервисов - можно. Другое дело, что для внешних ресурсов его не применить, и поэтому зачем его вообще включили в список альтернатив летсэнкрипту - непонятно (на самом деле понятно, конечно же).
goletsa
11.06.2026 14:58Сейчас ещё годовой EV Wildcard до двух по 180 дней сократили. Так что еще минимум два раза выпускать.
Lucky715
11.06.2026 14:58Казалось бы, что у нас какой-нибудь Яндекс, vk или иной бигтех мог бы организовать свой УЦ и выдачу сертификатов, получив высокий уровень доверия и т.д. в том числе и в плане доходов, но нет же мы будим уже "бесплатные" услуги зажимать и пытаться выдавить последние ₽ и двигаться той аудитории, которая способна перейти на какой-нибудь self/home решения
aik
11.06.2026 14:58Проблема не в "организовать центр", вон сертификаты минцифры есть. Проблема в том, что его в доверенные никто не добавит. И браузеры все будут вас с такими "яндексовыми" сертификатами посылать нафиг. Ну, кроме яндекс.браузера
remzalp
11.06.2026 14:58Хорошая рекомендация :)
https://zerossl.com/
Access Denied: Selling and offering services through our platform are restricted in your region. Thank you for your understanding.
wilterdink
11.06.2026 14:58интересно Технический директор какого г.на этот Раханов константин. zerossl на весь ru навешал санкции издавна
ну и суть переврана полностью - правильный вывод - валите на нейтральные домены, пока не поздно.
aik
11.06.2026 14:58Меня тут с моим нейтральным доменом (.ms) рег.ру послал куда подальше (перенос к другому регистратору, вроде его европейская дочка). Так что если ваш домен у российского регистратора - может иметь смысл задуматься о переносе его в другие края.
RulenBagdasis
11.06.2026 14:58Я тут, внезапно, обнаружил, что за мой нейтральный домен (.me) российский регистратор драл с меня в 5 (пять) раз больше, чем Cloudflare, хоть перенести дали, не создавая проблем. А еще они в 2.5 раза молча цену повысили за треш-сервак (1 Core CPU / 1 GB Memory / 10 GB), который теперь стоит в 2 раза дороже, чем 4 Core CPU / 8 GB Memory / 150 GB сервер в США. Российский наебизнес, бессмысленный и беспощадный. Импортозаместили…
wilterdink
11.06.2026 14:58>российский регистратор
не защищаю, не агитирую, но разброс цен и внутри подмножества "российский регистратор" достигал 10Х. Много лет регал и ПРОДЛЯЛ ru домены по 99рупь, потом по 199. в том месте только недавно только 300 стало.
RulenBagdasis
11.06.2026 14:58Ну я лопух просто, я чет уверовал, что на нероссийские домены наши реселлеры процентов 30 своей маржи накидывают и всё, с чем я был согласен даже, хотел поддержать. Но в 5 раз обдирать, это просто за гранью добра и зла. Я от этих бизнесменов сам ушёл и пару друзей утащил. У меня пригцип: не платить мудакам.
aik
11.06.2026 14:58Очень по разному бывает. Я не помню, у кого раньше мой домен был, но их кто-то приобрёл и они цену задрали в три раза. Сложилось очень "удачно" - у меня как раз продление было на носу, потому перенос был невозможен. Пришлось заплатить, но потом ушел в рег.ру
Те за домен .ms деньги берут средние по больнице, у буржуев я видел продление от 50 до 150, сам плачу около 100$
Потому пока не дёргаюсь. Плюс всё же российский регистратор по санкционным причинам на мороз не выкинет, в отличие от зарубежных.RulenBagdasis
11.06.2026 14:58
Бегет с меня драл почти 5000 рублей, я точно не помню сумму, послал их в пеший эротический тур по ленинским местам.
Сейчас облазил весь ЛК, нет страницаы биллинга, узнать, сколько ты платил, тебе не положено. Про инвойсы я вообще молчу…
aik
11.06.2026 14:58Я тут под привязку доменов к госуслугам решил домен .рф передать, который на меня зарегистрирован. У меня рег.ру, у реципиента р01 - вроде как партнёр ник.ру
Я получил код переноса, глянул в ник.ру - там 300 рублей берут за перенос домена. Пошли к реципиенту - ник.ру зайти позволяет, но говорит "вы не клиент, идите в р01". А р01 говорит "15 тысяч за перенос домена".
В итоге решили домен убить.
sashape89
11.06.2026 14:58Ситуация накалилась уже давно, когда Let's Encrypt стал по сути монополистом в мире бесплатных сертификатов. Но как я вижу, все идет к тому, что наши сайты не смогут открываться без ручной установки корневых сертификатов от МинЦифры.
Spiritschaser
11.06.2026 14:58Такие сайты и сейчас не открываются. Но можно забить и подтвердить руками.
Spiritschaser
11.06.2026 14:58и не проживает на территории под полными санкциями США
Да разве ж это жизнь? А значит, и не проживаю!
ganzmavag
Они же уже указали, что это касается только организаций, которые непосредственно находятся под санкциями