tripsik

На списки OFAC они и до этого проверяли:

Они и не могли не проверять, они же американская компания, если не будут проверять, получат вторичные санкции и их закроют. Это дико чтобы американская компания нарушала американские же законы санкционные, директорам за такое вплоть пожизненного  там светит, даже ради большой зарплаты они свое шкурой рисковать не будут.

Но теперь боюсь все будет жестче.

Директор или замдиректора letsencrypt на форуме yconbinator что-то невнятное вчера ответил, когда там сильный шум начался (там как и везде кто то топит запретить все связанное с кроссие, а кто то за сетевую и политическую нейтральность топит), что типа для обычных людей мало что изменится, новые санкции только для связанных с goverment, ему там ответили, что в их же новом соглашении насписано другое, и он пропал куда-то.

Посмотрим что будет.

В их соглашении четко написано, что из стран на которые действуют Comprehensive sanctions теперь будет нельзя получить сертификат нельзя.

Comprehensive sanctions currently target Cuba, Iran,[3] North Korea, Russia, and certain conflict regions of Ukraine, heavily restricting nearly all trade and financial transactions between U.S. persons and those regions. 

https://en.wikipedia.org/wiki/United_States_government_sanctions

Просто непонятно как они страну будут проверять для DV сертификатов. По ip-адресу сайта, по доменной зоне, как почти все их коллеги, которые забанили .ru.

Вот эти забанили .ru вместе с Северокерейскими, Кубинскими, Беларусскими доменами, но для Венисуэллы поблажки:

Currently, secure certificates of any type CAN NOT be issued to individuals or business entities in the following countries, websites, or the following country-code-top-level domains (TLDs):
 

Restricted Countries Listing:

The following countries are restricted by US Export restriction laws.
 

    BY - BLR - The Republic of Belarus
    CU - CUB - Cuba
    IR - IRN - Iran, Islamic Republic of
    KP - PRK - Korea, Democratic People's Republic of
    RU - RUS - The Russian Federation
    SY - SYR - Syrian Arab Republic
    VE - VEN - Venezuela
        Sectigo does not issue certificates for organizations owned/controlled by the Venezuelan Government
        All .GOB.VE certificates will NOT be issued
        .VE certificates may be issued if the organization DOES NOT fall under US Export restriction laws

https://www.sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907

Их прямой конкурент ZeroSSL, там тоже бесплатные сертификаты доступны, недавно тоже забанил .ru:

Restricted Countries


Currently, SSL certificates of any type cannot be issued for the following country code top-level domains (TLDs):
ISO Code        Country Name    TLD
BY      Belarus         .by
CU      Cuba    .cu
KP      Democratic People's Republic of Korea (DPRK)    .kp
IR      Iran    .ir
LY      Libya   .ly
MM      Myanmar         .mm
RU      Russia  .ru
RU      Russia / Soviet Union   .su
SD      Sudan   .sd
SS      South Sudan     .ss
SY      Syria   .sy
VE      Venezuela       .ve
YE      Yemen   .ye

 

These TLDs are restricted by US & EU Export restriction laws, as well as internal corporate guidelines.

https://help.zerossl.com/hc/en-us/articles/360060119833-Restricted-Countries

Вот у этих, пишут что санкции их только на некоторые регионы, а не на всю страну и РФ и Беларуси как целых стран с их списке нет, но при этом RU- и BY- домены полностью забанили:

Embargoed Countries & Regions
Solution ID : SO101120141837
Last Modified : 04/26/2026

Due to U.S.-imposed sanctions, DigiCert is legally prohibited or restricted from offering its products and services to specific countries or regions.
Comprehensive Sanctions

Comprehensive Sanctions generally prohibit DigiCert from doing business with any embargoed country or region.

Embargoed Countries

ISO Country Code

Cuba

CU

Iran

IR

North Korea (Democratic People's Republic of Korea)

KP

Syria

SY

Embargoed Region

ISO Country Code

Crimea

RU or UA

Donetsk peoples republic

RU or UA

Luhansk peoples republic

RU or UA

Note: Sudan was formerly subjected to an embargo, however, it was lifted in October 2017. 

 
Sectoral Sanctions

Sectoral Sanctions restrict DigiCert from doing certain business with individuals or entities that are subject to Sectoral Sanctions. Sectoral Sanctions currently apply to Russia and Venezuela.

High Risk Countries

Scenarios

Venezuela

DigiCert is prohibited from doing business with the Government of Venezuela or entities owned or controlled by the Government of Venezuela.

Russia

DigiCert is prohibited or restricted from doing certain business with certain parties connected to Russia/Ukraine that are listed on government sanctions lists like the OFAC SDN List, OFAC’s Sectoral Sanctions Identifications (“SSI”) List, or OFAC’s Non-SDN Menu-Based Sanctions (NS-MBS) List. In addition, exports of products and software to Russia are subject to enhanced export controls by the U.S. government and others.

Belarus

DigiCert is prohibited from doing business with certain parties connected to Belarus that are listed on government sanctions lists like the OFAC SDN List. In addition, exports of products and software to Belarus are subject to enhanced export controls by the U.S. government and others.
Note:
In response to the evolving geopolitical situation in Ukraine, DigiCert is pausing the issuance and re-issuance of all certificate types affiliated with Russia and Belarus. This includes suspending the issuance and re-issuance of certificates to TLDs related to Russia and Belarus, as well as to organizations with addresses in Russia or Belarus.
 

The list of restricted Russia and Belarus TLDs include:

    .by
    .moscow
    .ru
    .ru.com
    .ru.net
    .su
    .tatar
    .бел
    .москва
    .рус
    .рф

https://knowledge.digicert.com/solution/embargoed-countries-and-regions

Надеюсь они не сделают так же.

Похоже действительно никому в западных компаних не хочеться для выпуска каждого сертификата домена целое расследование проводить, является ли домен связанным с какой-то санкционной компаний или дочерней компаний этой санкционной компании, или человеком санкционным, и нести личную ответственность в случае если пропустят нарушителя. Проще забанить всю страну.

О, круто, а сколько хотят за каждый запрос?

Получается запрет на oauth gmail распространяется, а на email gmail нет?

Основываясь на официальных разъяснениях экспертов из системы ГАРАНТ (чьи консультации признаются официальными источниками)

Но это же бред!

ИИ советует переходить на незападные CA. Но их по пальцам пересчитать можно.

Из того, что удалось найти:

ZeroSSL, Sectigo, Digicert, Thawte, RapidSSL, GeoTrust уже забанили российские домены.

Остались:

cs.cfca.com.cn - вроде в Хроме указан как доверенный, но Java не доверяет ему.

www.trustasia.com - тоже китайцы какие-то непонятные.

harica.gr - греки, вроде запрета на рудомены нет.

www.globalsign.com - эти вроде не запретили российские домены, но пишут что проверки документов на санкционные списки и сроки выпуска иногда до двух недель. Но они американско-европейский бизнес, и если так массово пошло, сертификаты от них тоже в зоне риска.

Гугловый CA еще есть из тех где нет прямого запрета, но пишут что он как-то странно проверяет на связь с санкциями, проверяет IP-адреса хостинга и DNS.

У Baidu китайского есть вроде свой УЦ, выдают сертификаты, 

Был еще норвежкий УЦ бесплатный, но его прикрыли, точнее владелец продал.

Кто еще остался? Индия, ОАЭ, оффшоры, там вообще нет своих CA?

Вот нашел список доверенных хрома, но там нет не ссылок и названий нормальных не информации о политиках в отношении рудоменов https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/root_store.md

Как бы "другие зоны" не запретили такими темпами...

Похоже придется одновременно иметь:

1. Российский домен у российского регистратора (других для российских доменов не бывает).

2. Международные домен у зарубежного регистратора (из какой-нибуть незападной южной офшорной несанкционной страны).

Или не все так плохо и не будут выдавать сертификаты только для граждан РФ, а российские доменные зоны не запретят?

Хочется верить, но учитывая что 99% других удостоверяющих центов забанили именно российские доменные зоны, надежды что эти, а они компания из США, очень мало...

Защита у них их собственная или чужая?

Не слышно, будут восстанавливать или деньги возвращать с балансов или очередной кидок?

Он разный для разных производителей. И зависит от уровня локализации. Но напрямую налог ввести нельзя, в ВТО за такое наказать могут, поэтому в таком завуалированном виде налог сделали.

Да это все понятно. И блокировки начинались с защиты детей от деструктивной информации и способах суицидов.