Let's Encrypt zegt in zijn nieuwe gebruiksvoorwaarden belangrijke uitzonderingen te zijn vergeten. Daardoor leek het gebruik van de beveiligingscertificaten beperkt tot landen die niet vallen onder Amerikaanse sancties, exportwetten of -regulering.
De nieuwste versie (1.7) van de gebruiksvoorwaarden 'was incompleet en dat zorgde voor begrijpelijke verwarring'. Dit antwoordt de Internet Security Research Group (ISRG), de non-profitorganisatie achter Let's Encrypt, op vragen van Tweakers. Een woordvoerder geeft toe dat de voorwaarden van 4 juni stellen dat personen en organisaties in landen die vallen onder Amerikaanse strafmaatregelen 'Let's Encrypt niet mogen gebruiken'. Dit was niet de bedoeling, zegt de certificaatverstrekker nu.
De herziene overeenkomst gaf niet aan dat er cruciale wettelijke uitzonderingen zijn, legt de woordvoerder uit. Deze uitzonderingen beschermen internetcommunicatie die voor beveiliging de gratis certificaten van Let's Encrypt gebruikt. Daarnaast bestaan er specifieke autorisaties van het Amerikaanse Office of Foreign Assets Control, aldus de woordvoerder. Die zijn 'voor de continue beschikbaarheid van internetcommunicatiediensten'.
Dankzij deze uitzonderingen en autorisaties kunnen bedrijven en organisaties in landen op zwarte lijsten van de VS toch zakendoen met Amerikaanse leveranciers, zoals het veelgebruikte Let's Encrypt. Overheden zijn hierbij uitgesloten. De uitzonderingen en autorisaties voor personen, bedrijven en organisaties zonder overheidsbanden ontbreken in de nieuwe gebruiksvoorwaarden. Volgens de woordvoerder komt er 'binnenkort een herziening' van de gepubliceerde voorwaarden.
Vooralsnog bevat versie 1.7 van de gebruiksvoorwaarden nog altijd het nieuwe, omstreden punt in het deel 'Jouw garanties en verantwoordelijkheden'. Daarin moeten gebruikers van Let's Encrypt-certificaten verklaren dat ze zich niet bevinden in landen die vallen onder strafmaatregelen of handelsbeperkingen van de Amerikaanse overheid. Dit geldt voor personen, organisaties en bedrijven. Ook mogen overkoepelende organisaties en moederbedrijven niet in zulke landen zitten. In de vorige versie 1.6 van de gebruiksvoorwaarden stond deze beperking helemaal niet.
De toevoeging leek een nieuw geopolitiek beleid van Let's Encrypt in te luiden. De beperking zou ook mensen, organisaties en bedrijven raken in landen waartegen de Amerikaanse regering ineens handelsmaatregelen instelt. President Donald Trump legt geregeld heffingen, exportbeperkingen en andere straffen op aan landen die volgens hem oneerlijke praktijken hanteren of belemmeringen opwerpen. Het Amerikaanse sanctiebeleid kan in de praktijk snel veranderen.
De Nederlandse informaticahoogleraar Jaap-Henk Hoepman concludeerde uit versie 1.7 van de gebruiksvoorwaarden dat niet-Amerikaanse websites nu in wezen niet meer kunnen vertrouwen op Let's Encrypt. Een woordvoerder van ISRG ontkende in een verklaring aan Daily CyberSecurity al dat de verandering in de voorwaarden een plotse beleidswijziging is.
Let's Encrypt staat het gebruik van zijn certificaten wel toe in gesanctioneerde landen als Rusland en Iran, maar blokkeert gebruik door overheden. De certificaatverstrekker wilde zijn bestaande werkwijze om te voldoen aan Amerikaanse wet- en regelgeving vastleggen in de gebruiksvoorwaarden. De komende herziening van versie 1.7 moet dit verduidelijken.
Source: Tweakers.net