Let's Encrypt corrigeert eigen voorwaarden na zorgen over sanctielanden

In dit artikel:

Let's Encrypt‑beheerder ISRG erkent dat versie 1.7 van de gebruiksvoorwaarden, gepubliceerd op 4 juni, belangrijke uitzonderingen heeft weggelaten. Daardoor ontstond de indruk dat mensen en organisaties in landen onder Amerikaanse sancties of exportrestricties geen gratis TLS‑certificaten van Let's Encrypt mogen gebruiken. Dat was niet de bedoeling: de organisatie zegt dat cruciale wettelijke uitzonderingen en specifieke autorisaties van het Amerikaanse Office of Foreign Assets Control (OFAC) ontbreken in de tekst, terwijl die juist de continue beschikbaarheid van internetdiensten moeten waarborgen.

In de nieuwe tekst staat nu een bepaling waarin gebruikers verklaren niet in door de VS gesanctioneerde landen te zitten — iets wat in de vorige versie (1.6) niet voorkwam — en dat riep zorg en verwarring op. Critici, onder wie informaticahoogleraar Jaap‑Henk Hoepman, vreesden dat niet‑Amerikaanse websites niet langer op Let's Encrypt zouden kunnen vertrouwen. ISRG ontkent dat dit een plotselinge beleidswijziging is en benadrukt dat certificaten doorgaans beschikbaar blijven voor particulieren, bedrijven en organisaties in gesanctioneerde landen (zoals Rusland en Iran), maar dat gebruik door overheden is uitgesloten.

Let's Encrypt belooft de voorwaarden spoedig te herzien om de bestaande praktijk — naleving van Amerikaanse wetgeving met de juiste uitzonderingen en OFAC‑autorisaties — helder vast te leggen. De zaak toont ook hoe gevoelig certificaatbeleid is voor geopolitieke veranderingen in het Amerikaanse sanctiebeleid.