Let’s Encrypt 是全球最大的免费 SSL/TLS 证书颁发机构,也是当今 HTTPS 网络背后的关键服务之一。该公司更新了其用户协议,新增条款要求证书申请人确认其不受美国全面制裁、出口管制限制或相关禁止方规则的约束。
此更新包含在2026 年 6 月 4 日发布的Let’s Encrypt 用户协议 1.7 版中。该协议规定了请求、接受和使用由互联网安全研究小组(Let’s Encrypt 背后的非营利组织)颁发的 SSL/TLS 证书的条款。
关键变化在于第 3.1 条,该条概述了用户保证条款。用户现在必须确认其并非位于受美国全面制裁的国家或地区,也并非根据该国或地区的法律设立,或通常居住于该国或地区。
“您并非以下任何个人或实体:(a) 位于、根据
其法律设立或通常居住于任何受
美国全面制裁的国家或地区;(b) 根据
美国或其他适用的制裁和出口管制法律法规被禁止或限制的实体;
或 (c) 由 (a) 或 (b) 所述任何个人或实体拥有或控制,或代表其行事
。您同意
遵守适用的美国出口管制和制裁法律法规使用 Let’s Encrypt 证书以及 ISRG 提供或代表 ISRG 提供的任何服务
。”
该条款同样适用于受美国或其他适用制裁和出口管制法律约束的被禁止或限制的当事方。此外,该条款还适用于由此类当事方拥有、控制或代表此类当事方行事的个人或实体。
实际上,此次更新将 Let’s Encrypt 证书的资格与美国制裁合规性更直接地联系起来。它涵盖了受制裁司法管辖区的地域限制以及针对特定受制裁方的基于名单的限制。
美国财政部外国资产控制办公室(OFAC)负责执行制裁措施,它将制裁项目分为全面制裁和选择性制裁,并采用资产冻结和贸易限制等措施。其公开搜索工具会将姓名与美国制裁名单进行比对,其中包括特别指定国民名单和被封锁人员名单。
重要的是,对于 Let’s Encrypt 用户而言,此次变更并未引入新的技术证书验证流程。更新后的条款是订阅者的法律保证,而非 Let’s Encrypt 公开声明将自动屏蔽来自特定国家/地区代码顶级域名的所有域名。
更新后的协议也影响证书生命周期内的责任。如果第 3.1 条中的任何保证对现有证书而言不再成立,订户必须立即申请撤销。ISRG 也可出于任何合法理由,自行决定拒绝证书申请。
对大多数用户而言,此次更新可能不会产生实际影响。但对于那些与受全面制裁司法管辖区或被列入制裁名单的实体有关联的用户而言,新条款明确规定了协议中的合规要求。
