全球最大的免费数字证书颁发机构Let's Encrypt近日发布了一项重大政策变更:自即日起,其颁发的SSL/TLS证书将禁止在受美国制裁的任何领土和地区使用。这一决定迅速引发了互联网安全领域和国际技术社区的广泛关注。
政策细节与背景
根据Let's Encrypt官方发布的PDF文件,该机构明确更新了其用户协议,新增条款规定:证书不得用于“受美国贸易制裁或禁运的国家、地区或实体”。这意味着,包括古巴、伊朗、朝鲜、叙利亚以及克里米亚地区等在内的受美国制裁对象,将无法继续使用Let's Encrypt提供的免费HTTPS证书来保护其网站通信安全。
Let's Encrypt是一家非营利性的证书颁发机构(CA),依托于互联网安全研究小组(ISRG),自2015年正式上线以来,已累计签发超过3亿张免费SSL证书,全球约40%的网站使用其服务。此前,该机构一直以“为全网提供免费、自动化、开放的数字证书”为使命,此次政策转向被认为是对美国出口管制法规的合规性调整。
合规压力下的必然选择
分析人士指出,Let's Encrypt的行为并非出于自愿,而是迫于美国《出口管理条例》(EAR)和国际武器贸易条例(ITAR)的合规要求。作为一家注册于美国的非营利组织,Let's Encrypt必须遵守美国联邦法律,尤其在涉及加密技术出口的领域。
数字证书本质上属于加密产品,其公钥基础设施(PKI)技术受到美国出口管制。此前,许多美国科技公司已因制裁法规而切断对特定地区的服务,例如GitHub限制伊朗、叙利亚等地开发者的账户访问,谷歌、苹果应用商店在受制裁国家停止运营。Let's Encrypt此次跟进,被视为合规审查的“补丁”。
对受制裁地区网站的影响
这一政策将直接导致大量位于受制裁地区的网站无法正常续期或获取新的SSL证书。由于Let's Encrypt占据免费证书市场的主导地位,替代方案十分有限。虽然还有其他CA机构(如Comodo、GlobalSign等)提供服务,但它们同样多为美国公司或受美国法律管辖,且证书价格较高,对小型网站和个人站长而言负担沉重。
具体而言,一个伊朗的博客或电商网站、一位古巴的非政府组织网站管理员,将无法再通过简单的命令行工具获取Let's Encrypt的免费证书,其用户访问时浏览器会显示“不安全”警告,严重影响网站的可信度和访问量。更严重的是,许多使用Let's Encrypt进行自动续期的服务器脚本将直接失效。
互联网碎片化加剧
技术社区对此反应强烈。许多安全专家指出,这一做法违背了Let's Encrypt“加密整个互联网”的初衷,实质上将网络加密服务变成了地缘政治工具。电子前哨基金会(EFF)发表声明,对禁令表示担忧,认为“对普通用户施加技术制裁无助于实现政治目标,反而会加深数字鸿沟”。
自由软件基金会(FSF)则呼吁Let's Encrypt应寻求法律途径豁免,或至少在受制裁地区部署本地化的证书签发代理。但考虑到美国制裁法律的严厉性,此类豁免几乎不可能实现。
未来的替代方案
受影响的网站可能需要转向非美国管辖的证书颁发机构。例如,中国的沃通(WoSign)或英国的Sectigo等,但这些机构在国际信任度、技术兼容性或审查风险方面存在不同问题。此外,自签名证书或使用ACME协议的替代CA服务(如ZeroSSL)也是备选方案,但都不具备Let's Encrypt那种自动化和广泛信任根的优势。
结语
Let's Encrypt的此次禁令,标志着互联网加密服务的“政治中立”时代进一步退潮。当基础技术设施也需服从于国家出口管制,全球互联网的碎片化趋势将更加难以逆转。对于广大受制裁地区的用户而言,维护一个安全、开放的Web环境,正变得越来越困难。