Let’s Encrypt больше не вариант? Обзор альтернатив

4 июня 2026 года Let’s Encrypt тихо обновил пользовательское соглашение до версии 1.7. Новый пункт обязывает получателя сертификата подтвердить, что он не находится под полными санкциями США. В России это вызвало волну обсуждений — и не без причины. В Беларуси пока тихо. Но тихо — не значит «нас это не касается».

Что изменилось в соглашении

В разделе гарантий Subscriber Agreement 1.7 появился новый пункт. Пользователь подтверждает, что не находится, не зарегистрирован и не проживает на территории под полными санкциями США; не входит в санкционные списки OFAC; не является структурой, контролируемой такими лицами; и будет использовать сервисы ISRG в соответствии с правилами экспортного контроля.

Как технически работает блокировка

Важно понимать: Let’s Encrypt не может массово отозвать действующие сертификаты без серьёзных технических последствий. Это привело бы к поломке миллионов сайтов по всему миру и подорвало бы доверие ко всей инфраструктуре PKI.

Вместо этого возможны три сценария:

Сценарий 1: Отказ в продлении (наиболее вероятный)

• Ваши текущие сертификаты продолжают работать до истечения срока действия (90 дней).

• При попытке продления certbot или acme.sh получает ошибку от API.

• У вас есть 90 дней на миграцию, но если вы используете автоматическое продление и не мониторите логи — узнаете о проблеме постфактум, когда сертификат истечёт.

Сценарий 2: Точечная блокировка по домену/IP

• Let’s Encrypt добавляет конкретные домены или IP-адреса в чёрный список.

• Запросы на выпуск сертификатов для этих доменов отклоняются.

• Действующие сертификаты для заблокированных доменов могут быть отозваны через CRL/OCSP.

Сценарий 3: Блокировка по геолокации (маловероятный)

• Let’s Encrypt блокирует запросы с IP-адресов из определённых стран.

• Технически реализуемо, но создаст огромные проблемы с ложными срабатываниями (VPN, CDN, прокси).

• Такой сценарий маловероятен для России и Беларуси, но возможен для стран под полными санкциями.

Вывод: Массовой мгновенной блокировки не будет. Проблема в том, что автоматическое продление сломается тихо — вы узнаете об этом только когда сертификат истечёт.

Опыт России и уроки для Беларуси

Технически Let’s Encrypt продолжает выдавать сертификаты российским пользователям. Но нервозность в российском комьюнити понятна. Не из-за этого конкретного обновления, а из-за общей логики: зависимость от американской инфраструктуры в условиях непредсказуемого санкционного давления — это риск. Сегодня Let’s Encrypt работает. А завтра политическое решение может изменить интерпретацию исключений OFAC, и никакого технического предупреждения не будет.

Формально Беларусь сейчас в более выгодном положении, чем Россия. Полных санкций США нет. Но санкционный ландшафт меняется быстро и непредсказуемо. Беларусь уже несколько лет живёт в режиме «что-то изменится — неизвестно когда и в какую сторону». Российские разработчики сегодня гуглят «альтернативы Let’s Encrypt» — не потому что сертификаты перестали работать, а потому что думать об этом после того, как перестанут, уже поздно.

Бесплатные альтернативы

Существуют бесплатные замены Let’s Encrypt:

• ZeroSSL — самый простой вариант. Бесплатные сертификаты, поддерживает ACME-протокол, работает с теми же certbot и acme.sh без переучивания. Зарегистрирован в Австрии.

• Google Trust Services — бесплатно через ACME, нужен аккаунт Google Cloud (бесплатный уровень подходит). Американская инфраструктура.

• step-ca — если нужен собственный внутренний CA с ACME-поддержкой. Для микросервисов, VPN, внутренних инструментов. Разворачивается за несколько минут, клиенты те же.

В августе 2025 года норвежский удостоверяющий центр Buypass объявил о прекращении выдачи SSL-сертификатов, включая бесплатный сервис Go SSL. Это показывает, что даже надёжные европейские УЦ могут уйти с рынка. Поэтому не стоит полагаться на один источник — всегда имейте план миграции на альтернативный сервис.

Когда стоит перейти на платный сертификат

Если хочется не просто сменить «вывеску» с одного бесплатного ACME-сервера на другой, а полностью убрать зависимость от автоматических протоколов, которые в теории могут отключить, имеет смысл посмотреть в сторону платных сертификатов.

Россия уже несколько лет живёт в условиях санкций, и рынок SSL-сертификатов там адаптировался. Российские реселлеры предлагают сертификаты международных УЦ с оплатой в рублях. Цены начинаются от 1500-3000 RUB в год за DV-сертификат.

В Беларуси ситуация аналогичная, но рынок меньше и менее разнообразный. Тем не менее, местные реселлеры предлагают те же международные УЦ — GlobalSign, Sectigo, DigiCert — с оплатой в белорусских рублях. Цены начинаются от 29-40 BYN в год за базовый DV-сертификат, что примерно соответствует российским ценам с учётом курса.

Что это даёт белорусским компаниям? Во-первых, оплата в BYN по ЕРИП или безналу — не нужно думать о конвертации валют и международных переводах. Во-вторых, договор с белорусским юрлицом по местному законодательству — это закрывающие документы для налоговой без лишних вопросов. В-третьих, техподдержка на русском языке и в белорусском часовом поясе — не нужно ждать ответа от зарубежного саппорта. И наконец, отсутствие жёстких лимитов на выпуск сертификатов, которые есть у бесплатных ACME-серверов.

Есть и свои особенности. Белорусский рынок меньше, поэтому выбор реселлеров ограничен. Автоматизация через API развита слабее, чем в России, поэтому массовый выпуск сотен сертификатов может быть неудобным. Но если у вас десяток-другой доменов, этого достаточно.

Минус платных сертификатов тот же, что и везде — нет автоматического продления через ACME. Раз в год придётся генерировать CSR, проходить валидацию домена и вручную обновлять файлы на сервере. Но если у вас немного доменов, это 15 минут работы, а не критическая проблема.

Итог

Для белорусских разработчиков прямо сейчас ничего не изменилось — Let’s Encrypt работает, новое соглашение их не касается. Но наблюдать за тем, как российское комьюнити спохватилось после обновления, — хороший повод потратить полчаса и проверить, насколько ваша инфраструктура зависит от одного американского сервиса.

Российский опыт показывает: покупка через местных реселлеров — рабочее решение, которое убирает зависимость от прямых платежей в США и даёт локальную техподдержку. Беларусь может использовать этот опыт, не дожидаясь кризиса. Тем более что рынок уже сформирован, цены адекватные, а процесс получения сертификата не отличается от российского.