tripsik

Очередной супердебилтный совет. Регистраторы платят в ТЦИ за каждый трансфер, он для них не бесплатный. Ты реально думаешь что регистрторы будут устраивать благотворительность из своего кармана и не отыграются на наивных клиентах, которые на это поведутся? Они потом переплатят в разы. Регистраторы же не дебилы в отличие от наивных клиентов.

Не неси бред и почитай правила. Он не может быть бесплатным. Он даже для регистраторов платный. Принимающий регистратор платит в реестр за каждый трансфер.

Свеб с каких пор стал регистратором? И почему кроме? Это хостер из Руцентр Групп (Рунити). Регистраторы, не регистраторы, хостеры, все в одну кучу. Странно что Мираторга с Пятерочкой и Дикси в списке нет.

Какой нафиг перецедент? 

Прецедент это когда что то происходит впервые, и служащее другим примером или основанием для подобныхпоследующих действий. 

А 99% других CA уже забанили .ru зону! 😤 

Они не первые. Просто были единственными кто еще работал с россиянами и давал бесплатные сертификаты.

Его невозможно полностью автоматизировать!

Как ты автоматизируешь, когла в записи на сайте OFAC  написано "ООО Рога и копыта, и все ее дочерние компании" или написано Сергей Иванов. Еще там бавают ники и клички. Ты должен проверить доменом не имеет отношения к Иванову, и что это другой Иванов, а не тот самый, что ник Rustam не имеет отношения к нику какого то авторитета указанного в санкциях "также известный как Rustam",  что включение в домен кейворда с чем-то из санкционного списка просто случайность, что обычной ничем не примичательной по названию компанией не владеет другая санкционная компания, а эти связи все чаще закрывают доступ к просмотру и ты автоматом это вообще никак не проверь и много другое. А еще там много разных вариантов написаний, разные языки и пр. Это ад для проверки нормальной.

Всегда будет ошибки. И если посмотришь новости за такое ошибки по полярда долларов штрафы частенько накладывают. Сколько сертификатов нужно выпустить для доменов чтобы прибыль с них окупила одну такую ошибку?

Наверно крупные международные компании дураки что после 22 года нанимают сотнями людей в комплайнс департамены.

В теории можно поручить эту работу ИИ но взникает другая проблема, кто будет отвечать в случае ошибки? Руководитель отдела или директор не захочет платить штраф сам или сесть в случае ошибки ИИ, поэтому нужен конкретный сответсвенный отрудник, и от ручной проверки никогда не уйдут полностью.

На списки OFAC они и до этого проверяли:

Они и не могли не проверять, они же американская компания, если не будут проверять, получат вторичные санкции и их закроют. Это дико чтобы американская компания нарушала американские же законы санкционные, директорам за такое вплоть пожизненного  там светит, даже ради большой зарплаты они свое шкурой рисковать не будут.

Но теперь боюсь все будет жестче.

Директор или замдиректора letsencrypt на форуме yconbinator что-то невнятное вчера ответил, когда там сильный шум начался (там как и везде кто то топит запретить все связанное с кроссие, а кто то за сетевую и политическую нейтральность топит), что типа для обычных людей мало что изменится, новые санкции только для связанных с goverment, ему там ответили, что в их же новом соглашении насписано другое, и он пропал куда-то.

Посмотрим что будет.

В их соглашении четко написано, что из стран на которые действуют Comprehensive sanctions теперь будет нельзя получить сертификат нельзя.

Comprehensive sanctions currently target Cuba, Iran,[3] North Korea, Russia, and certain conflict regions of Ukraine, heavily restricting nearly all trade and financial transactions between U.S. persons and those regions. 

https://en.wikipedia.org/wiki/United_States_government_sanctions

Просто непонятно как они страну будут проверять для DV сертификатов. По ip-адресу сайта, по доменной зоне, как почти все их коллеги, которые забанили .ru.

Вот эти забанили .ru вместе с Северокерейскими, Кубинскими, Беларусскими доменами, но для Венисуэллы поблажки:

Currently, secure certificates of any type CAN NOT be issued to individuals or business entities in the following countries, websites, or the following country-code-top-level domains (TLDs):
 

Restricted Countries Listing:

The following countries are restricted by US Export restriction laws.
 

    BY - BLR - The Republic of Belarus
    CU - CUB - Cuba
    IR - IRN - Iran, Islamic Republic of
    KP - PRK - Korea, Democratic People's Republic of
    RU - RUS - The Russian Federation
    SY - SYR - Syrian Arab Republic
    VE - VEN - Venezuela
        Sectigo does not issue certificates for organizations owned/controlled by the Venezuelan Government
        All .GOB.VE certificates will NOT be issued
        .VE certificates may be issued if the organization DOES NOT fall under US Export restriction laws

https://www.sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907

Их прямой конкурент ZeroSSL, там тоже бесплатные сертификаты доступны, недавно тоже забанил .ru:

Restricted Countries


Currently, SSL certificates of any type cannot be issued for the following country code top-level domains (TLDs):
ISO Code        Country Name    TLD
BY      Belarus         .by
CU      Cuba    .cu
KP      Democratic People's Republic of Korea (DPRK)    .kp
IR      Iran    .ir
LY      Libya   .ly
MM      Myanmar         .mm
RU      Russia  .ru
RU      Russia / Soviet Union   .su
SD      Sudan   .sd
SS      South Sudan     .ss
SY      Syria   .sy
VE      Venezuela       .ve
YE      Yemen   .ye

 

These TLDs are restricted by US & EU Export restriction laws, as well as internal corporate guidelines.

https://help.zerossl.com/hc/en-us/articles/360060119833-Restricted-Countries

Вот у этих, пишут что санкции их только на некоторые регионы, а не на всю страну и РФ и Беларуси как целых стран с их списке нет, но при этом RU- и BY- домены полностью забанили:

Embargoed Countries & Regions
Solution ID : SO101120141837
Last Modified : 04/26/2026

Due to U.S.-imposed sanctions, DigiCert is legally prohibited or restricted from offering its products and services to specific countries or regions.
Comprehensive Sanctions

Comprehensive Sanctions generally prohibit DigiCert from doing business with any embargoed country or region.

Embargoed Countries

ISO Country Code

Cuba

CU

Iran

IR

North Korea (Democratic People's Republic of Korea)

KP

Syria

SY

Embargoed Region

ISO Country Code

Crimea

RU or UA

Donetsk peoples republic

RU or UA

Luhansk peoples republic

RU or UA

Note: Sudan was formerly subjected to an embargo, however, it was lifted in October 2017. 

 
Sectoral Sanctions

Sectoral Sanctions restrict DigiCert from doing certain business with individuals or entities that are subject to Sectoral Sanctions. Sectoral Sanctions currently apply to Russia and Venezuela.

High Risk Countries

Scenarios

Venezuela

DigiCert is prohibited from doing business with the Government of Venezuela or entities owned or controlled by the Government of Venezuela.

Russia

DigiCert is prohibited or restricted from doing certain business with certain parties connected to Russia/Ukraine that are listed on government sanctions lists like the OFAC SDN List, OFAC’s Sectoral Sanctions Identifications (“SSI”) List, or OFAC’s Non-SDN Menu-Based Sanctions (NS-MBS) List. In addition, exports of products and software to Russia are subject to enhanced export controls by the U.S. government and others.

Belarus

DigiCert is prohibited from doing business with certain parties connected to Belarus that are listed on government sanctions lists like the OFAC SDN List. In addition, exports of products and software to Belarus are subject to enhanced export controls by the U.S. government and others.
Note:
In response to the evolving geopolitical situation in Ukraine, DigiCert is pausing the issuance and re-issuance of all certificate types affiliated with Russia and Belarus. This includes suspending the issuance and re-issuance of certificates to TLDs related to Russia and Belarus, as well as to organizations with addresses in Russia or Belarus.
 

The list of restricted Russia and Belarus TLDs include:

    .by
    .moscow
    .ru
    .ru.com
    .ru.net
    .su
    .tatar
    .бел
    .москва
    .рус
    .рф

https://knowledge.digicert.com/solution/embargoed-countries-and-regions

Надеюсь они не сделают так же.

Похоже действительно никому в западных компаних не хочеться для выпуска каждого сертификата домена целое расследование проводить, является ли домен связанным с какой-то санкционной компаний или дочерней компаний этой санкционной компании, или человеком санкционным, и нести личную ответственность в случае если пропустят нарушителя. Проще забанить всю страну.

Получается запрет на oauth gmail распространяется, а на email gmail нет?

Основываясь на официальных разъяснениях экспертов из системы ГАРАНТ (чьи консультации признаются официальными источниками)

Но это же бред!

ИИ советует переходить на незападные CA. Но их по пальцам пересчитать можно.

Из того, что удалось найти:

ZeroSSL, Sectigo, Digicert, Thawte, RapidSSL, GeoTrust уже забанили российские домены.

Остались:

cs.cfca.com.cn - вроде в Хроме указан как доверенный, но Java не доверяет ему.

www.trustasia.com - тоже китайцы какие-то непонятные.

harica.gr - греки, вроде запрета на рудомены нет.

www.globalsign.com - эти вроде не запретили российские домены, но пишут что проверки документов на санкционные списки и сроки выпуска иногда до двух недель. Но они американско-европейский бизнес, и если так массово пошло, сертификаты от них тоже в зоне риска.

Гугловый CA еще есть из тех где нет прямого запрета, но пишут что он как-то странно проверяет на связь с санкциями, проверяет IP-адреса хостинга и DNS.

У Baidu китайского есть вроде свой УЦ, выдают сертификаты, 

Был еще норвежкий УЦ бесплатный, но его прикрыли, точнее владелец продал.

Кто еще остался? Индия, ОАЭ, оффшоры, там вообще нет своих CA?

Вот нашел список доверенных хрома, но там нет не ссылок и названий нормальных не информации о политиках в отношении рудоменов https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/root_store.md

Как бы "другие зоны" не запретили такими темпами...

Похоже придется одновременно иметь:

1. Российский домен у российского регистратора (других для российских доменов не бывает).

2. Международные домен у зарубежного регистратора (из какой-нибуть незападной южной офшорной несанкционной страны).

Или не все так плохо и не будут выдавать сертификаты только для граждан РФ, а российские доменные зоны не запретят?

Хочется верить, но учитывая что 99% других удостоверяющих центов забанили именно российские доменные зоны, надежды что эти, а они компания из США, очень мало...