Let’s Encrypt – Les sanctions US s’invitent dans le contrat
Si vous êtes développeur en Iran, à Cuba ou en Corée du Nord, vous venez officiellement de perdre l’accès à Let’s Encrypt !
En effet, la version 1.7 du
Subscriber Agreement
publiée par l’ISRG (Internet Security Research Group), l’organisation derrière le service, est malheureusement entrée en vigueur le 4 juin dernier. Et sur les 8 pages du document, il n’y a qu’un seul ajout, mais il pèse trèèès lourd : section 3.1, un nouveau bullet point oblige maintenant chaque utilisateur à garantir qu’il “n’est pas localisé, organisé sous les lois de, ou résident dans un pays cible de sanctions américaines complètes“.
En pratique, la liste OFAC des juridictions sous sanctions globales actuelles couvre Cuba, l’Iran, la Corée du Nord, et les zones occupées de Crimée, Donetsk et Lougansk (la Syrie en a été retirée fin 2025 ce qui montre bien à quel point ce périmètre peut évoluer rapidement).
Et le couperet ne tombe pas que sur des États-paria abstraits puisque ONG d’aide humanitaire, journalistes, universités, et tout le monde qui travaille ou vit dans ces zones perd le service. Du coup, pour récupérer un certificat HTTPS gratuit, vous devez maintenant signer une clause d’embargo. Plusieurs utilisateurs rapportent également que des certificats de sites russes auraient déjà été révoqués au cours des derniers mois, sans préavis officiel de l’ISRG…
Le piège, c’est la section 2.2 du contrat, intacte depuis longtemps mais qui prend un sens tout neuf : l’agrément reste en vigueur tant que vous possédez un seul certificat valide. Cela veut dire qu’une violation potentielle sur UN certificat peut donc, en théorie, déclencher une révocation en cascade de TOUS les autres, un peu comme un crédit immobilier où une mensualité ratée rendrait tout le contrat caduque…
Je vous laisse imaginer la tronche d’un hébergeur qui gère mille sites le jour où ça tombe et qui crée des certificats Let’s Encrypt pour ses clients… La section 4.2 énumère onze motifs de révocation activables “à la seule discrétion” de l’ISRG, dont la violation de l’agrément et un joli fourre-tout “d’autres motifs raisonnables et légaux“.
Notez que l’ISRG est domiciliée à San Jose, en Californie et que tous les CA américains (DigiCert, Sectigo, GlobalSign US) sont déjà soumis aux mêmes obligations OFAC depuis toujours, donc c’est pas vraiment non plus une surprise… Mais ça tombe toujours mal ce genre de conneries.
Maintenant, côté alternatives, si vous voulez sortir de la juridiction US, y’a pas grand chose… Je me souviens de ZeroSSL qui ressemblait à une option européenne mais qui a été racheté début 2024 par HID Global (filiale du suédois Assa Abloy, basée au Texas… donc aux Etats-Unis), donc soumis aux mêmes obligations OFAC à terme. Après vous avez peut-être des services à me recommander ? Sinon il faudra passer par des certificats payants.
Bref, le HTTPS gratuit a toujours eu un drapeau, mais on faisait juste semblant de l’oublier…
Leave a Comment