要注意：Let's Encryptが米国の制裁対象地域での証明書利用を禁止

Let's Encryptは、米国が経済制裁を課している地域において、同サービスが提供するSSL/TLS証明書の利用を全面的に禁止すると発表しました。該当地域でサービスを運用しているエンジニアや管理者は、証明書の失効や更新停止の可能性があるため、早急に詳細を確認することをお勧めします。詳細は公式のPDF資料をご確認ください。

これってカナリア・トラップかな？もしグリーンランドとかキューバ、あるいはEUからLet's Encryptの証明書を使い始めたり、使い続けたりしたら何が起こるんだろ？Let's Encryptに召喚状（召喚令状）が出されたってことなのかな？

LEってヨーロッパか、アメリカとその属国以外のどこかにブランチを持てなかったのかね？彼らはAboutページで掲げている自らの目標を裏切ってるよ。「公共の利益のためのサービス。ドメイン名を持つ誰でも、Let's Encryptを使って無料で信頼された証明書を取得できる。コミュニティの利益のための共同の取り組みであり、特定の組織の支配下にはない」と言っておきながら、結局は政治組織の支配下にあることを認めたわけだ。

2026年6月4日にLet's Encryptが利用規約に追加した一文がこれだよ：

あなたは以下のいずれにも該当しない個人または団体であること：

(a) 米国の包括的制裁の対象となっている国または領土に所在、その法律に基づいて設立、または通常居住している。

(b) 米国またはその他の適用される制裁・輸出管理法および規則に基づく禁止または制限された当事者である。

(c) (a)または(b)に記載されている者によって所有または支配されている、あるいはその代理として行動している。

あなたは、ISRGによって、またはその代理で提供されるLet's Encrypt証明書およびサービスを、適用される米国の輸出管理および制裁法・規則に従って使用することに同意する。

制裁対象のエンティティと一度でもやり取りした瞬間、契約違反として世界中でアウトになって、制裁対象外の国のものも含めた「すべての」証明書が失効させられるリスクがあるってことだよね。

前文を見ると：

   - これは「単一の証明書」をスコープに含意するようなものではなく「サブスクライバー合意」と呼ばれている

   - これは「証明書」（複数形）に関する「あなたの権利と義務」についての契約となっている

2.1「期間（Term）」：

  - 「（合意は）あなたの証明書の『いずれか』（複数形）が有効である全期間中、有効であり続ける」

3.1「保証（Warranties）」：

  - 「Let's Encrypt証明書を一つでも要求、承諾、または使用することによって」（複数形）

これって、「デジタル証明書は認証局の所有者のために排除を強制する手段である」っていう私の直感を補強するようなものだね。これは人々がSSL/TLS、ソフトウェア、ファームウェア、ハードウェアといった、デジタル証明書に影響を受けるあらゆるものに対して、完全な所有権や制御権を持つのを防ぐためのツールなんだよ。実質的なデジタル専制主義だね。

イランは何ヶ月もインターネットを遮断してるのに、アメリカは…安全な通信の構築を禁止するだって？それで彼らに何を示せるって言うのさ！

ロシアの準政府組織は、市民を監視するためにTSPU（検閲システム）へ数京ルーブルも投じているのに、アメリカは暗号化された通信を禁止することで、本来なら暗号化されているはずの通信を覗き見しやすくして、結果的に彼らに手を貸しているようなもんだ。

Let's Encryptのミッションは、より安全でプライバシーを尊重したウェブを作ること…あ、より安全でプライバシーを尊重したウェブを最も必要としている国の人々は例外だけどね。いやあ、素晴らしいことだ。

とはいえ、これはSSL技術を敵対国に輸出しないようにという、アメリカの狂った法的要件に起因しているのは間違いないね。ブラウザに「国際版（40bit暗号）」と「セキュア版（128bit暗号）」があった時代を覚えている人も多いだろう。

これは非常にまずい。考えうる限り最悪だよ。制裁対象国でローカルサービスが使えなくなれば、政府はすべてのユーザーに対して、ルート証明書のインストールを強制するか、あるいはサービスやサイトへのアクセスを諦めるかの二択を迫るようになる。そうなれば、そのルート証明書を使ってMITM攻撃が可能になる。最悪の場合、ユーザーの大半がルート証明書をインストールした後、国家によるDPIがすべてのトラフィックをMITMして、監視できない通信をすべてブロックし始めるだろうね。

これって本当に新しいことなの？私には、暗号技術に対するアメリカの標準的な輸出規制に見えるけど。こういう制限は90年代からずっとあるよ。

Let's Encryptがアメリカ企業であれば、あるいはGitHubや主要アプリストアに何かを投稿すれば、アメリカの暗号技術の輸出規制の対象になる。私がGoogle Playに投稿したすべてのアプリも、暗号をどう利用しているかについてアメリカ政府に宣誓書を提出する必要があったし。

こうした規制は1950年代後半から続いている（コンピュータ暗号に関しては長くて複雑な歴史があるね）。今回の文面も、米国のEAR輸出要件を遵守するために必要な定型文に見えるよ。

見出しを解釈するのに少し時間がかかったよ。ここでの「Sanctioned」は「認可（official approval）」じゃなくて、「罰則（imposed penalty/制裁）」って意味だよね。

「US territories（米領）」という言葉があるからか、あるいはLEがアメリカを禁止した方がニュースとして面白いからそう読んじゃうのか、それとも単に私が無知なだけかな。

タイトルがちょっと紛らわしかったね。

読んだとき、「Let's Encryptが米国の承認するあらゆる地域で証明書の使用を禁止した」って解釈しちゃったよ。コメントをいくつか読んで、ようやく「米国による制裁下の地域」のことだと理解できた。