4 июня 2026 года Let's Encrypt тихо обновил пользовательское соглашение до версии 1.7. Новый пункт обязывает получателя сертификата подтвердить, что он не находится под полными санкциями США. В России это вызвало волну обсуждений — и не без причины. В Беларуси пока тихо. Но тихо — не значит «нас это не касается».
Что изменилось в соглашении
В разделе гарантий Subscriber Agreement 1.7 появился новый пункт. Пользователь подтверждает, что не находится, не зарегистрирован и не проживает на территории под полными санкциями США; не входит в санкционные списки OFAC; не является структурой, контролируемой такими лицами; и будет использовать сервисы ISRG в соответствии с правилами экспортного контроля.
Как технически работает блокировка
Важно понимать: Let's Encrypt не может массово отозвать действующие сертификаты без серьёзных технических последствий. Это привело бы к поломке миллионов сайтов по всему миру и подорвало бы доверие ко всей инфраструктуре PKI.
Вместо этого возможны три сценария:
Сценарий 1: Отказ в продлении (наиболее вероятный)
Ваши текущие сертификаты продолжают работать до истечения срока действия (90 дней).
При попытке продления
certbotилиacme.shполучает ошибку от API.У вас есть 90 дней на миграцию, но если вы используете автоматическое продление и не мониторите логи — узнаете о проблеме постфактум, когда сертификат истечёт.
Сценарий 2: Точечная блокировка по домену/IP
Let's Encrypt добавляет конкретные домены или IP-адреса в чёрный список.
Запросы на выпуск сертификатов для этих доменов отклоняются.
Действующие сертификаты для заблокированных доменов могут быть отозваны через CRL/OCSP.
Сценарий 3: Блокировка по геолокации (маловероятный)
Let's Encrypt блокирует запросы с IP-адресов из определённых стран.
Технически реализуемо, но создаст огромные проблемы с ложными срабатываниями (VPN, CDN, прокси).
Такой сценарий маловероятен для России и Беларуси, но возможен для стран под полными санкциями.
Вывод: Массовой мгновенной блокировки не будет. Проблема в том, что автоматическое продление сломается тихо — вы узнаете об этом только когда сертификат истечёт.
Опыт России и уроки для Беларуси
Технически Let's Encrypt продолжает выдавать сертификаты российским пользователям. Но нервозность в российском комьюнити понятна. Не из-за этого конкретного обновления, а из-за общей логики: зависимость от американской инфраструктуры в условиях непредсказуемого санкционного давления — это риск. Сегодня Let's Encrypt работает. А завтра политическое решение может изменить интерпретацию исключений OFAC, и никакого технического предупреждения не будет.
Формально Беларусь сейчас в более выгодном положении, чем Россия. Полных санкций США нет. Но санкционный ландшафт меняется быстро и непредсказуемо. Беларусь уже несколько лет живёт в режиме «что-то изменится — неизвестно когда и в какую сторону». Российские разработчики сегодня гуглят «альтернативы Let's Encrypt» — не потому что сертификаты перестали работать, а потому что думать об этом после того, как перестанут, уже поздно.
Бесплатные альтернативы
Существуют бесплатные замены Let's Encrypt:
ZeroSSL — самый простой вариант. Бесплатные сертификаты, поддерживает ACME-протокол, работает с теми же
certbotиacme.shбез переучивания. Зарегистрирован в Австрии.Google Trust Services — бесплатно через ACME, нужен аккаунт Google Cloud (бесплатный уровень подходит). Американская инфраструктура.
step-ca — если нужен собственный внутренний CA с ACME-поддержкой. Для микросервисов, VPN, внутренних инструментов. Разворачивается за несколько минут, клиенты те же.
В августе 2025 года норвежский удостоверяющий центр Buypass объявил о прекращении выдачи SSL-сертификатов, включая бесплатный сервис Go SSL. Это показывает, что даже надёжные европейские УЦ могут уйти с рынка. Поэтому не стоит полагаться на один источник — всегда имейте план миграции на альтернативный сервис.
Когда стоит перейти на платный сертификат
Если хочется не просто сменить «вывеску» с одного бесплатного ACME-сервера на другой, а полностью убрать зависимость от автоматических протоколов, которые в теории могут отключить, имеет смысл посмотреть в сторону платных сертификатов.
Россия уже несколько лет живёт в условиях санкций, и рынок SSL-сертификатов там адаптировался. Российские реселлеры предлагают сертификаты международных УЦ с оплатой в рублях. Цены начинаются от 1500-3000 RUB в год за DV-сертификат.
В Беларуси ситуация аналогичная, но рынок меньше и менее разнообразный. Тем не менее, местные реселлеры предлагают те же международные УЦ — GlobalSign, Sectigo, DigiCert — с оплатой в белорусских рублях. Цены начинаются от 29-40 BYN в год за базовый DV-сертификат, что примерно соответствует российским ценам с учётом курса.
Что это даёт белорусским компаниям? Во-первых, оплата в BYN по ЕРИП или безналу — не нужно думать о конвертации валют и международных переводах. Во-вторых, договор с белорусским юрлицом по местному законодательству — это закрывающие документы для налоговой без лишних вопросов. В-третьих, техподдержка на русском языке и в белорусском часовом поясе — не нужно ждать ответа от зарубежного саппорта. И наконец, отсутствие жёстких лимитов на выпуск сертификатов, которые есть у бесплатных ACME-серверов.
Есть и свои особенности. Белорусский рынок меньше, поэтому выбор реселлеров ограничен. Автоматизация через API развита слабее, чем в России, поэтому массовый выпуск сотен сертификатов может быть неудобным. Но если у вас десяток-другой доменов, этого достаточно.
Минус платных сертификатов тот же, что и везде — нет автоматического продления через ACME. Раз в год придётся генерировать CSR, проходить валидацию домена и вручную обновлять файлы на сервере. Но если у вас немного доменов, это 15 минут работы, а не критическая проблема.
Итог
Для белорусских разработчиков прямо сейчас ничего не изменилось — Let's Encrypt работает, новое соглашение их не касается. Но наблюдать за тем, как российское комьюнити спохватилось после обновления, — хороший повод потратить полчаса и проверить, насколько ваша инфраструктура зависит от одного американского сервиса.
Российский опыт показывает: покупка через местных реселлеров — рабочее решение, которое убирает зависимость от прямых платежей в США и даёт локальную техподдержку. Беларусь может использовать этот опыт, не дожидаясь кризиса. Тем более что рынок уже сформирован, цены адекватные, а процесс получения сертификата не отличается от российского.
