Let's Encrypt присоединился к западным санкциям против российских сайтов ()

И где в данном тексте Ru и Su домены. Между строк написаны?

В целом по теме — речь идет о российских компаниях входяших в санкционные списки US, которым запрещено приобритение платных сертификатов уже давно !!!. Теперь эти компании устанавливают бесплатные и как следствие — заблокируют покупку и этих. 

Все эти компании имеют известные домены и находятся в санкционном списке  — зачем верифицировать всех админов Ru и Su? 

На списки OFAC они и до этого проверяли:

Они и не могли не проверять, они же американская компания, если не будут проверять, получат вторичные санкции и их закроют. Это дико чтобы американская компания нарушала американские же законы санкционные, директорам за такое вплоть пожизненного  там светит, даже ради большой зарплаты они свое шкурой рисковать не будут.

Но теперь боюсь все будет жестче.

Директор или замдиректора letsencrypt на форуме yconbinator что-то невнятное вчера ответил, когда там сильный шум начался (там как и везде кто то топит запретить все связанное с кроссие, а кто то за сетевую и политическую нейтральность топит), что типа для обычных людей мало что изменится, новые санкции только для связанных с goverment, ему там ответили, что в их же новом соглашении насписано другое, и он пропал куда-то.

Посмотрим что будет.

В их соглашении четко написано, что из стран на которые действуют Comprehensive sanctions теперь будет нельзя получить сертификат нельзя.

Comprehensive sanctions currently target Cuba, Iran,[3] North Korea, Russia, and certain conflict regions of Ukraine, heavily restricting nearly all trade and financial transactions between U.S. persons and those regions. 

https://en.wikipedia.org/wiki/United_States_government_sanctions

Просто непонятно как они страну будут проверять для DV сертификатов. По ip-адресу сайта, по доменной зоне, как почти все их коллеги, которые забанили .ru.

Вот эти забанили .ru вместе с Северокерейскими, Кубинскими, Беларусскими доменами, но для Венисуэллы поблажки:

Currently, secure certificates of any type CAN NOT be issued to individuals or business entities in the following countries, websites, or the following country-code-top-level domains (TLDs):
 

Restricted Countries Listing:

The following countries are restricted by US Export restriction laws.
 

    BY - BLR - The Republic of Belarus
    CU - CUB - Cuba
    IR - IRN - Iran, Islamic Republic of
    KP - PRK - Korea, Democratic People's Republic of
    RU - RUS - The Russian Federation
    SY - SYR - Syrian Arab Republic
    VE - VEN - Venezuela
        Sectigo does not issue certificates for organizations owned/controlled by the Venezuelan Government
        All .GOB.VE certificates will NOT be issued
        .VE certificates may be issued if the organization DOES NOT fall under US Export restriction laws

https://www.sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907

Их прямой конкурент ZeroSSL, там тоже бесплатные сертификаты доступны, недавно тоже забанил .ru:

Restricted Countries


Currently, SSL certificates of any type cannot be issued for the following country code top-level domains (TLDs):
ISO Code        Country Name    TLD
BY      Belarus         .by
CU      Cuba    .cu
KP      Democratic People's Republic of Korea (DPRK)    .kp
IR      Iran    .ir
LY      Libya   .ly
MM      Myanmar         .mm
RU      Russia  .ru
RU      Russia / Soviet Union   .su
SD      Sudan   .sd
SS      South Sudan     .ss
SY      Syria   .sy
VE      Venezuela       .ve
YE      Yemen   .ye

 

These TLDs are restricted by US & EU Export restriction laws, as well as internal corporate guidelines.

https://help.zerossl.com/hc/en-us/articles/360060119833-Restricted-Countries

Вот у этих, пишут что санкции их только на некоторые регионы, а не на всю страну и РФ и Беларуси как целых стран с их списке нет, но при этом RU- и BY- домены полностью забанили:

Embargoed Countries & Regions
Solution ID : SO101120141837
Last Modified : 04/26/2026

Due to U.S.-imposed sanctions, DigiCert is legally prohibited or restricted from offering its products and services to specific countries or regions.
Comprehensive Sanctions

Comprehensive Sanctions generally prohibit DigiCert from doing business with any embargoed country or region.

Embargoed Countries

ISO Country Code

Cuba

CU

Iran

IR

North Korea (Democratic People's Republic of Korea)

KP

Syria

SY

Embargoed Region

ISO Country Code

Crimea

RU or UA

Donetsk peoples republic

RU or UA

Luhansk peoples republic

RU or UA

Note: Sudan was formerly subjected to an embargo, however, it was lifted in October 2017. 

 
Sectoral Sanctions

Sectoral Sanctions restrict DigiCert from doing certain business with individuals or entities that are subject to Sectoral Sanctions. Sectoral Sanctions currently apply to Russia and Venezuela.

High Risk Countries

Scenarios

Venezuela

DigiCert is prohibited from doing business with the Government of Venezuela or entities owned or controlled by the Government of Venezuela.

Russia

DigiCert is prohibited or restricted from doing certain business with certain parties connected to Russia/Ukraine that are listed on government sanctions lists like the OFAC SDN List, OFAC’s Sectoral Sanctions Identifications (“SSI”) List, or OFAC’s Non-SDN Menu-Based Sanctions (NS-MBS) List. In addition, exports of products and software to Russia are subject to enhanced export controls by the U.S. government and others.

Belarus

DigiCert is prohibited from doing business with certain parties connected to Belarus that are listed on government sanctions lists like the OFAC SDN List. In addition, exports of products and software to Belarus are subject to enhanced export controls by the U.S. government and others.
Note:
In response to the evolving geopolitical situation in Ukraine, DigiCert is pausing the issuance and re-issuance of all certificate types affiliated with Russia and Belarus. This includes suspending the issuance and re-issuance of certificates to TLDs related to Russia and Belarus, as well as to organizations with addresses in Russia or Belarus.
 

The list of restricted Russia and Belarus TLDs include:

    .by
    .moscow
    .ru
    .ru.com
    .ru.net
    .su
    .tatar
    .бел
    .москва
    .рус
    .рф

https://knowledge.digicert.com/solution/embargoed-countries-and-regions

Надеюсь они не сделают так же.

Похоже действительно никому в западных компаних не хочеться для выпуска каждого сертификата домена целое расследование проводить, является ли домен связанным с какой-то санкционной компаний или дочерней компаний этой санкционной компании, или человеком санкционным, и нести личную ответственность в случае если пропустят нарушителя. Проще забанить всю страну.

Какой нафиг перецедент? 

Прецедент это когда что то происходит впервые, и служащее другим примером или основанием для подобныхпоследующих действий. 

А 99% других CA уже забанили .ru зону! 😤 

Они не первые. Просто были единственными кто еще работал с россиянами и давал бесплатные сертификаты.

Его невозможно полностью автоматизировать!

Как ты автоматизируешь, когла в записи на сайте OFAC  написано "ООО Рога и копыта, и все ее дочерние компании" или написано Сергей Иванов. Еще там бавают ники и клички. Ты должен проверить доменом не имеет отношения к Иванову, и что это другой Иванов, а не тот самый, что ник Rustam не имеет отношения к нику какого то авторитета указанного в санкциях "также известный как Rustam",  что включение в домен кейворда с чем-то из санкционного списка просто случайность, что обычной ничем не примичательной по названию компанией не владеет другая санкционная компания, а эти связи все чаще закрывают доступ к просмотру и ты автоматом это вообще никак не проверь и много другое. А еще там много разных вариантов написаний, разные языки и пр. Это ад для проверки нормальной.

Всегда будет ошибки. И если посмотришь новости за такое ошибки по полярда долларов штрафы частенько накладывают. Сколько сертификатов нужно выпустить для доменов чтобы прибыль с них окупила одну такую ошибку?

Наверно крупные международные компании дураки что после 22 года нанимают сотнями людей в комплайнс департамены.

В теории можно поручить эту работу ИИ но взникает другая проблема, кто будет отвечать в случае ошибки? Руководитель отдела или директор не захочет платить штраф сам или сесть в случае ошибки ИИ, поэтому нужен конкретный сответсвенный отрудник, и от ручной проверки никогда не уйдут полностью.

Пояснение для тех, кто плохо понимает английский язык. Вся страна Россия под comprehensive (всеобъемлющими) санкциями. Поэтому все Российские организации, и все Российские частные лица, тоже под этими санкциями. И сертификаты не будут выдаваться (и продлеваться) как для Российских организаций, так и для Российских частных лиц, не только для RU доменов, но и для всех доменов, у которых Российские администраторы. Короче, дорогие Россияне, меняйте входящие указатели с модных HTTPS на традиционные HTTP без лишней S буквы для всех своих доменов.

Пошел поменяю. Спасбо за совет.

Нет, это не так. Читай тред с исполнительным директором LE (ник jaas), где он исчерпывающе ответил по этому поводу: https://news.ycombinator.com/item?id=48453275#48465754

Как они будут определять, кто администратор у доменов в международной зоне. 

Я бы еще понял, что по регистратору. Если российская организация - регистрант, то сертификат не выдается. Но есть много ресселеров в РФ, регистрирующих через Индию и еще фиг знает где. 

От рушек и сушек массы со временем откажутся и так, это не вопрос. LE тут только может убыстрить вопрос. Слух это или нет.