Американский удостоверяющий центр Let’s Encrypt, находящийся под юрисдикцией США, отказался выдавать SSL-сертификат для домена max.ru. Причина — домен попал под санкционное правило, запрещающее американским компаниям обслуживать подсанкционные лица. В ответе сообщества Let’s Encrypt пояснили: домен связан с юрлицом, которое фигурирует в американских санкционных списках. Речь идёт об ООО «Коммуникационная платформа» (структура, аффилированная с VK). Пользователи форума обратили внимание, что под блокировку может попадать любая российская компания, имеющая в названии «общество с ограниченной ответственностью», — система сопоставления может ошибочно классифицировать их как подсанкционные. Эксперты подтвердили, что Let’s Encrypt как американская компания обязана соблюдать санкции OFAC, а механизмы сопоставления юридических лиц с доменами не раскрываются, чтобы не создавать лазейки для обхода.
Let’s Encrypt — один из крупнейших в мире бесплатных центров сертификации, выдающий SSL-сертификаты для шифрования трафика. Он находится под юрисдикцией США, а значит, обязан соблюдать санкционные ограничения, установленные Управлением по контролю за иностранными активами Минфина США.
Ситуация вскрылась, когда пользователь под ником spaceworm23 попытался отладить выпуск сертификата для домена max.ru. Диагностический сервис выдал ошибку: «запрещено политикой». Оказалось, что Let’s Encrypt привязал домен к юридическому лицу «ООО Коммуникационная платформа», которое, по данным американской системы поиска санкций, находится под ограничениями. Это юрлицо аффилировано с VK — крупной российской интернет-платформой, которая сама под прямые санкции не попадает, но её структуры могут быть включены в санкционные списки из-за косвенных признаков.
Участник сообщества MikeMcQ пояснил: «Это доменное имя связано с юрлицом, которое фигурирует в санкционном списке США. Let’s Encrypt находится под юрисдикцией США, поэтому не может выдавать сертификаты для подсанкционных организаций».
Другой участник, spaceworm23, обратил внимание на системную проблему. В России многие компании имеют в официальном названии префикс «ООО» (общество с ограниченной ответственностью). Если алгоритм сопоставления Let’s Encrypt ошибочно принимает этот префикс за признак принадлежности к подсанкционной структуре, под блокировку могут попасть сотни ни в чём не повинных доменов. «Если у вас есть закрытые доказательства связи — это нормально, но это не прозрачно. Либо в вашем алгоритме сопоставления ошибка, и он классифицирует всех с таким префиксом как подсанкционных», — написал он.
Собеседники форума отметили, что детали сопоставления юридических лиц и доменных имён намеренно не раскрываются, чтобы злоумышленники не могли обойти блокировку. При этом официальной процедуры обжалования ошибочной блокировки нет — только надежда на то, что администраторы Let’s Encrypt вручную разберутся.
Таким образом, проблема выходит за рамки одного домена max.ru. Под ударом могут оказаться любые российские компании, чьи владельцы или аффилированные лица включены в санкционные списки США. А сам факт того, что Let’s Encrypt отказывает в выдаче сертификатов целым категориям российских доменов, создаёт риски для безопасности интернет-коммуникаций, поскольку незашифрованный трафик становится более уязвимым для перехвата.
