Let’s Encrypt 在 2026 年 6 月 4 日悄悄更新了《订阅者协议》(Subscriber Agreement)到 v1.7 版本。最关键的修订只有一句话:禁止在任何「美国制裁地区」发放、使用 Let’s Encrypt 证书。这件事表面上是合规动作,实质上是 7 亿网站背后的免费 TLS 基础设施,第一次把「地理合规」放进了证书服务条款。

20260610081333713
Let's Encrypt 制裁封禁: 美国制裁区证书新规, 7 亿网站背后的 TLS 条款第一次写进了「地理合规」 1

一、SA v1.7 改了什么:一句关键条文

Let’s Encrypt 在 6 月 4 日发布的 SA v1.7 diff 文档(LE-SA-v1.7-June-04-2026-diff.pdf),新增的核心条文如下:

  • 明确禁止:在「美国制裁地区」(US sanctioned territory)内,订阅者不得申请、持有或使用 Let’s Encrypt 颁发的证书。
  • 判断依据:以美国财政部 OFAC(Office of Foreign Assets Control)现行制裁清单为准,覆盖国家与地区通常包括:古巴、伊朗、朝鲜、叙利亚,以及乌克兰的克里米亚、顿涅茨克、卢甘斯克地区。
  • 执行机制:Let’s Encrypt 保留在发现违规时直接吊销证书(revoke)的权利,无需提前通知。

这份条款是 Let’s Encrypt 自 2015 年上线以来,第一次在 Subscriber Agreement 层面引入「地理制裁」概念。之前的版本只有「法律合规」「不得用于非法用途」这类原则性表述,v1.7 把它落到了具体的国家与地区清单上。

二、为什么 Let’s Encrypt 必须改:OFAC 的「长臂管辖」是底色

这次修订不是 Let’s Encrypt 主动做的,而是被美国法律「逼」出来的。让我们拆开看:

  • OFAC 是美国制裁的执行机构。它的规则适用于「美国人」「美国境内主体」「美国服务或产品」,不论申请者在不在美国。只要 Let’s Encrypt 是美国非营利 ISRG(Internet Security Research Group)运营的 CA,它就必须执行 OFAC 的制裁清单。
  • CA 不能「选择性失明」。当 OFAC 制裁名单上的主体尝试申请证书时,Let’s Encrypt 必须拒绝;同样的逻辑也适用于证书签发后的「使用环节」——只要发现证书被部署在制裁地区,理论上应当吊销。
  • 这次落地意味着 v1.6 的「模糊地带」结束了。v1.6 时代的 Let’s Encrypt 在制裁地区的使用一直处于灰色地带——技术上能签发,但合规上有风险。v1.7 把灰色地带写成明文条款,等于让 CA、合规团队、托管服务商第一次有了「明确的红线」。

这不是 Let’s Encrypt「主动政治化」,而是它作为美国 CA 必须做的事。换句话说,未来任何美国 CA 都会走同样的路,差别只在于「条款措辞松紧」和「执行严格度」。

三、谁会被影响:三类读者要重新评估

把这件事放到实际场景里,至少三类主体需要立刻重新评估自己的证书策略:

  1. 制裁地区的开发者与运维。如果你的服务器部署在伊朗、朝鲜或叙利亚,目前在用的 Let’s Encrypt 证书理论上进入「违规使用」状态,续签会被拒绝,已经签发的可能在 90 天到期前被主动吊销。这意味着一些原本靠 Let’s Encrypt 跑 HTTPS 的小服务会被迫回到自签证书或 HTTP 明文。
  2. 跨境托管与 CDN 服务商。Cloudflare、Akamai、AWS CloudFront 这类「全球节点」的厂商,需要在签发证书前增加一道「IP 地理位置」判断。如果客户业务覆盖制裁地区,要么用其他 CA(比如 Sectigo、DigiCert 的非美国主体),要么明确告知客户该地区无法使用 HTTPS。
  3. 合规与安全审计团队。如果你的企业有「全球 SSL/TLS 部署清单」审计,这次修订意味着审计范围里多了一个维度——证书本身的「地理位置合规」。原本只要看「证书是否过期」「是否使用了强算法」,现在还要看「证书部署的 IP 段是不是在 OFAC 清单里」。

四、行业意义:免费 TLS 的「合规成本」第一次有了具体价格

Let’s Encrypt 的免费证书之所以重要,是因为它把 HTTPS 从「企业级付费服务」变成了「任何个人都能用的基础设施」。但「免费」不等于「无成本」,这次的 v1.7 修订让所有人都看到了这个成本:

  • 对美国 CA 来说,免费证书的合规账单第一次有了具体形态。以前 OFAC 合规是「按比例分摊」在所有付费证书里的,免费证书用户感受不到。这次 Let’s Encrypt 把条款写进 SA,等于告诉所有用户:免费证书的合规成本,也是由所有用户共同承担的
  • 对非美国 CA 来说,这是它们的差异化卖点。Let’s Encrypt、DigiCert、Sectigo、GoDaddy 这些 CA 都在美国主体下运作,它们的证书对 OFAC 的态度是一致的。但欧洲的 CA(如 Buypass、AC Camerfirma)、亚洲的 CA(如 CNNIC 的商用分支)可以提供「不受 OFAC 长臂管辖」的证书——这会在跨境业务里形成新的差异化。
  • 对整个 HTTPS 生态来说,免费证书的「中立性」叙事第一次被打破。Let’s Encrypt 一直强调自己是「为公利的非营利 CA」,这次的 v1.7 让外界意识到——「公利」在美国法律框架下是有边界的。这种认知会推动更多「地理去中心化」的 CA 项目(如 ISRG 自己的镜像计划,或者欧洲正在筹建的 non-US CA)获得更多资源。

回到开头:Let’s Encrypt 这次悄悄改 SA,HN 评论区讨论最热烈的是「这等于把所有美国 CA 推到了台前」。当一家 CA 是非营利、是公益、是「加密所有人」——但它仍然必须遵守美国制裁法——那么「HTTPS 是中立的」这句话,在 2026 年 6 月之后需要加一个括号:(在美国 CA 体系内)

这是 7 亿个网站背后的基础设施,第一次明确告诉世界:免费与中立,不是一回事。

下载:Let’s Encrypt Subscriber Agreement

本文由 AI 协助撰写,最终内容由本站编辑团队审核。