Let's Encrypt прописал санкции в соглашение, у Макса отозвали сертификат. Валить с LE или очередная паника?

[sleepypanic]

Накидаю фактуру, а то телеграм-каналы уже хоронят весь рунет, а хочется трезвых мнений по технике.

Что было на той неделе. В ночь на 5 июня международный УЦ GlobalSign отозвал сертификат у мессенджера Max. За день до этого, 4 июня, Max выпилили из App Store, Apple прямо сослалась на санкции. 6 июня утром домен Макса перевели на бесплатный Let's Encrypt, серт выдан до 4 сентября, то есть на три месяца. А 8 июня зачем то выпустили ещё один, уже от греческого HARICA DV. Мечутся явно.

Параллельно сам Let's Encrypt 4 июня обновил пользовательское соглашение до версии 1.7. Там теперь пункт 3.1: подписчик гарантирует, что не находится в стране под комплексными санкциями США и не под контролем лиц оттуда, и обязан сам запросить отзыв, если перестал соответствовать. Плюс никуда не делись пункты, что ISRG ничего не гарантирует, ни за что не отвечает (4.2), а ты ещё и должен возместить им убытки (3.10).

И вот вопрос. По разным оценкам от 60 до 92 процентов зоны .ru сидит на Let's Encrypt. Это юридическая бумажка для галочки или реально готовят почву дёрнуть рубильник? Стоит уже сейчас тащить НУЦ Минцифры, перекладываться на другие CA, или это паника на ровном месте? Только давайте без политоты, по делу.

[sainty]

Ну все, приехали. 60-92% рунета на одном американском УЦ, который 4 июня прописал санкционный пункт в соглашение. Какие еще нужны намеки, блин. Рубильник собран, осталось дернуть.

[py_wizard]

Вы хоть открывали это соглашение? Пункт 3.1 это representations and warranties ПОДПИСЧИКА. То есть ТЫ декларируешь, что не под санкциями, когда жмешь кнопку. Это не фильтр, не скан, не авто-отзыв. LE не сидит и не проверяет каждый .ru домен по списку OFAC. Юристы прикрыли зад на случай, если SDN-контора возьмет серт, и все. Из этого раздули рубильник на 92% рунета, бл. Уровень аналитики как всегда.

[ama123]

Пока тут хоронят весь рунет, у меня в acme.sh три CA в конфиге уже год. Упадет LE, скрипт перевыпустит у ZeroSSL за час. Вся подготовка к апокалипсису - один флаг -server, а не миграция на НУЦ.

[mynancy]

Ты пункт 3.1 сам читал или тебе телеграм-канал пересказал? Там написано что ПОДПИСЧИК гарантирует что он не под санкциями. Это юр. декларация, бумажка, а не сканер по зоне .ru. Половина треда третий день обсуждает рубильник, которого в тексте просто нет. Цирк.

[postgres2]

Вы вообще таймлайн видели? 4 июня Max выпиливают из App Store, в тот же день LE обновляет соглашение до v1.7 с пунктом 3.1 про санкции, 5 июня GlobalSign отзывает серт. Три события за два дня и это типа совпадение? Это не совпадение, это синхронная подготовка. Сегодня пункт 3.1 называется гарантией подписчика, юристы кивают, все спокойны. А завтра к этой гарантии прикручивают проверку, и формально вы сами подписались, что не под санкциями, претензии к себе. Юридическая база уже лежит, технический фильтр это вопрос одного релиза. Кто после Крыма-2014 и отзывов платежных систем еще верит в "это просто бумажка", тот ничему не учится.

[clickhousepro]

@jpearce, ОП, ты либо паникер, либо нагоняешь просмотры. От 60 до 92 процентов это разброс в полтора раза, то есть цифру ты не проверял, взял максимально страшную. С 4 июня прошла неделя, массовых отзывов ноль, выдача по ru идет как шла, открой логи certificate transparency по любому свежему домену и убедись. Если реально страшно, потрать вечер не на тред, а на регистрацию второго ACME аккаунта. Серьезно, это полезнее.

[sleepyraccoon]

@py_wizard, Смешно наблюдать, как в каждом таком треде через три поста появляется человек с готовой методичкой: переходите на НУЦ Минцифры, все продумано, все схвачено. Прям по расписанию. Восход зарплату вовремя платит?

[jennifer26]

@puto, Отдельно поржал с Макса. Выкинули с GlobalSign - побежали на бесплатный LE на три месяца. На УЦ, который ЧЕТЫРЕ ДНЯ НАЗАД вписал санкционный пункт в соглашение. Потом подстелили греческую HARICA. Греция, член ЕС, ага, очень надежная подстраховка. GlobalSign тоже был солидный коммерческий УЦ за деньги, и где те деньги. Любой западный CA сложится по первому письму из OFAC, это вопрос времени, а не принципов.

[mtj1007]

ОП, ответ на твой вопрос: юридическая бумажка. У LE с 2022 публичная позиция, что под OFAC есть исключения на свободу интернета и личные коммуникации, негосударственным российским сайтам серты выдаются как выдавались. Кейс Max это адресная история про юрлицо из санкционного списка, причем отозвал GlobalSign, а LE наоборот выдал. Экстраполировать это на всю зону .ru это как из отключения одного абонента за неуплату делать вывод, что завтра обесточат город.