Let’s Encrypt cấm sử dụng chứng chỉ tại các khu vực bị Mỹ trừng phạt [PDF]

Ý kiến Hacker News

• Sứ mệnh của Let’s Encrypt là tạo ra một web an toàn hơn và tôn trọng quyền riêng tư, nhưng có vẻ những người sống ở các quốc gia cần điều đó nhất lại bị loại ra
  Tuy nhiên, có vẻ chuyện này bắt nguồn từ yêu cầu pháp lý vô lý của Mỹ là không được xuất khẩu công nghệ SSL sang các nước thù địch. Có lẽ vẫn sẽ có người nhớ thời các trình duyệt web từng bị chia thành bản “thân thiện quốc tế” chỉ hỗ trợ mã hóa 40-bit và bản “bảo mật nâng cao” hỗ trợ mã hóa 128-bit

  • Tôi nghĩ Let’s Encrypt vẫn đang phục vụ gần như mọi nhóm dễ bị tổn thương trên toàn thế giới, bao gồm cả những người cần nhất. Nhưng chủ đề này khá phức tạp nên tôi ngần ngại nói theo kiểu tuyệt đối
    Phần lớn các chặn liên quan đến trừng phạt chỉ áp dụng cho chính phủ của các quốc gia bị trừng phạt cụ thể, chứ không áp dụng cho người dân thường
    Bản cập nhật thỏa thuận thuê bao lần này nhằm phản ánh tốt hơn các yêu cầu pháp lý và không phải là thay đổi lớn trong dịch vụ cung cấp. Chương trình tuân thủ thay đổi theo thời gian, và việc truyền đạt điều đó rõ hơn trong điều khoản cũng là một phần của quá trình ấy. Nhìn các bình luận ở đây thì rõ ràng cần làm câu chữ dễ hiểu hơn, và chúng tôi sẽ cải thiện phần đó
    Và đây không phải do “luật Mỹ cấm xuất khẩu công nghệ SSL sang các nước thù địch” gây ra
  • Tôi thực sự còn nhớ thời mã PGP được in thành sách để xuất khẩu. Việc xuất khẩu mã nguồn mã hóa dùng khóa mạnh dưới dạng kỹ thuật số bị cấm, nhưng sách thì được Tu chính án thứ nhất bảo vệ nên vẫn ổn
    Người ta ở nước ngoài quét lại bản in đó để phục hồi mã nguồn và build PGP một cách hợp pháp
  • Có lẽ đây là chuyện của OFAC. Let’s Encrypt có thể nộp đơn xin giấy phép để giao dịch với các đối tượng bị trừng phạt, và nếu xét theo mục đích sử dụng thì khả năng được chấp thuận có vẻ khá cao
    https://ofac.treasury.gov/ofac-license-application-page
  • Gần đây trong toàn bộ ngành công nghệ, tôi có cảm giác hệ thống pháp luật Mỹ đang rất nhanh dựng lên một sự phân mảnh khổng lồ và một bức màn sắt kỹ thuật số. Từ mô hình AI cho đến những thứ đời thường hơn như chứng chỉ TLS đều như vậy
    Nhiều bản phân phối Linux có trụ sở tại Mỹ đã đi theo hướng này từ khá lâu, và RedHat cũng đã từng đưa ra thông báo khá giống Let’s Encrypt
    Với bất kỳ dự án mở có ý nghĩa nào, cuối cùng có lẽ sẽ phải chọn một con đường: hoặc chuyển đi như RISC-V, hoặc thực thi sự tách biệt như Let’s Encrypt và các dự án khác
  • Cũng có người từng thật sự sở hữu món này
    http://www.cypherspace.org/adam/uk-shirt.html
    Đó là một chiếc áo thun có in script Perl triển khai mã hóa RSA mạnh đến mức nếu xuất khẩu từ Mỹ thì về mặt kỹ thuật là bất hợp pháp
    Đáng tiếc là vào cuối thập niên 90 tôi không đủ liều lĩnh hay đủ can đảm để mặc chiếc áo đó đến Mỹ

• Chẳng lẽ Let’s Encrypt không thể đặt chi nhánh ở ngoài châu Âu hoặc Mỹ và khối đồng minh phụ thuộc của họ sao?
  Điều này đi ngược lại mục tiêu họ nêu ở trang About. Họ nói là “dịch vụ vận hành vì lợi ích công”, “bất kỳ ai có tên miền đều có thể nhận chứng chỉ tin cậy miễn phí”, và “nỗ lực hợp tác nhằm mang lại lợi ích cho cộng đồng vượt ra ngoài sự kiểm soát của bất kỳ tổ chức đơn lẻ nào”, nhưng giờ thì coi như họ thừa nhận mình đang nằm dưới sự kiểm soát của một tổ chức chính trị
  Câu chữ được thêm vào thỏa thuận thuê bao ngày 2026-06-04 nói rằng người dùng không được là cá nhân hay tổ chức đang ở, được thành lập theo pháp luật của, hoặc thường trú tại quốc gia hay vùng lãnh thổ chịu lệnh trừng phạt toàn diện của Mỹ; không được là đối tượng bị cấm hoặc hạn chế theo luật trừng phạt hay kiểm soát xuất khẩu của Mỹ hoặc luật tương tự có hiệu lực; cũng không được do các đối tượng đó sở hữu, kiểm soát hoặc đại diện cho họ; đồng thời phải sử dụng chứng chỉ Let’s Encrypt và dịch vụ do ISRG cung cấp theo đúng luật kiểm soát xuất khẩu và trừng phạt của Mỹ

  • Có thể, nhưng nếu chi nhánh đó không tuân thủ luật liên quan thì trụ sở chính ở Mỹ vẫn sẽ phải chịu trách nhiệm
  • Không nên ở châu Âu. Như bạn nói, các khối đồng minh phụ thuộc của Mỹ cũng chẳng khá hơn chính Mỹ
    Thà chuyển sang một quốc gia trung lập như Singapore hoặc Uruguay còn hơn
  • Cũng có các dịch vụ ngoài Mỹ tương đương Let’s Encrypt
  • Let’s Encrypt không phải kiểu thứ như code hay công ty có thể tách thành chi nhánh. Nền tảng tồn tại của họ nằm ở mối quan hệ tin cậy với trình duyệt và hệ điều hành
    Bản thân công nghệ để tạo một root thay thế gần như là chuyện nhỏ, tương tự như hệ thống tên miền hay địa chỉ IP, nhưng điều khó hơn nhiều là khiến root thay thế đó đạt được sự tin cậy để được phần còn lại của thế giới chấp nhận
    Ví dụ, giả sử ai đó tạo ra một phiên bản Let’s Encrypt của Nga. Về mặt kỹ thuật, việc yêu cầu và nhận chứng chỉ qua thử thách ACME có thể giống hệt LE hiện tại. Nhưng sẽ không có trình duyệt nào công nhận nó là hợp lệ, và cũng không có hệ điều hành nào xem nó là hợp lệ. Chính phủ Nga có thể thêm LE mới đó vào danh sách tin cậy trên máy tính của chính phủ, nhưng công việc thực sự là khiến các bên tham gia khác trên thế giới cũng làm như vậy. Đây không phải vấn đề công nghệ mà là vấn đề xã hội được xây trên nền tảng niềm tin
    Khi Nga xâm lược Ukraine, đã có tranh luận lớn về việc IANA/ICANN có nên cắt Nga khỏi hệ thống tên miền và địa chỉ IP hay không. Kết luận là không nên làm vậy, vì lợi ích mang tính biểu tượng quá nhỏ còn thiệt hại đối với toàn hệ thống thì quá lớn, đặc biệt là cả sau chiến tranh. Nếu có hai root, tên miền hay địa chỉ IP có thể đột nhiên cùng tồn tại ở hai nơi khác nhau, và về sau nếu muốn sửa lại sẽ vô cùng đau đớn. Cơ quan chứng thực không có đặc tính đó, nên gần như vô số root có thể cùng tồn tại và, giả sử không có va chạm hash, chúng sẽ không xung đột với nhau. Nếu Nga dựng một cơ quan chứng thực mới thì ai muốn dùng có thể dùng ngay từ hôm nay, và sau khi chiến tranh kết thúc vẫn có thể tiếp tục dùng
  • Một tổ chức hoàn toàn độc lập sẽ là lựa chọn tốt hơn nhiều. Dù sao giao thức cũng mở, nên chỉ cần trỏ sang nhà cung cấp khác là được

• Iran đã chặn Internet suốt nhiều tháng, vậy mà Mỹ lại cấm tạo các kết nối an toàn, đúng là "hiệu quả"
  Các tổ chức bán chính phủ của Nga đang đổ những khoản rúp khổng lồ vào TSPU, một hệ thống kiểm duyệt dùng để giám sát người dân Nga, còn Mỹ thì cấm mã hóa dễ tiếp cận, thành ra lại giúp họ có thể do thám cả lưu lượng hiện đang được mã hóa

  • Chứng chỉ Let’s Encrypt vẫn tiếp tục được dùng ở cả Iran và Nga, chỉ là không cung cấp cho chính phủ Iran và Nga
    Đây chỉ là cập nhật điều khoản để làm rõ rằng họ đã tuân thủ luật liên quan từ trước tới nay, chứ không làm thay đổi tình hình ở hai nước
  • [Tôi là người Iran] hoàn toàn đồng ý. Tôi nhớ chuyện Mỹ từng cấm công dân và doanh nghiệp Iran sử dụng hạ tầng đám mây như AWS hay DigitalOcean
    Kết quả là người dân và doanh nghiệp bị đẩy sang các dịch vụ cloud nội địa do chính phủ hậu thuẫn, khiến chính phủ dễ dàng hơn rất nhiều trong việc cắt truy cập Internet bất cứ lúc nào họ muốn mà vẫn không làm gián đoạn các dịch vụ thiết yếu như ngân hàng, thương mại điện tử, gọi taxi online hay giao đồ ăn
  • TSPU không phải để giám sát mà phục vụ thực thi kiểm duyệt và nhiều chức năng khác nhằm biến trải nghiệm dùng Internet ở đây trở nên khốn khổ nếu không có VPN. Công cụ dùng để giám sát là SORM
    Và Roskomnadzor rõ ràng là một phần của chính phủ

• Việc này củng cố trực giác rằng rốt cuộc chứng chỉ số là công cụ để cưỡng chế loại trừ thay mặt cho chủ sở hữu tổ chức chứng thực
  Dù là phần mềm, firmware, phần cứng hay như trường hợp này là SSL/TLS, đây đều là công cụ khiến con người không thể có quyền sở hữu và quyền kiểm soát trọn vẹn đối với những gì bị chứng chỉ số chi phối. Một kiểu bạo quyền số trá hình

  • Ở đây có vẻ như tổ chức chứng thực nắm quyền kiểm soát chính, nhưng quyền kiểm soát thực tế nằm ở trình duyệt và hệ điều hành đã đưa tổ chức chứng thực đó vào danh sách tin cậy
    Người dùng cũng có thể thêm hoặc gỡ tổ chức chứng thực, ít nhất là ở thời điểm hiện tại. Trên các thiết bị như smartphone thì quyền kiểm soát đó có phần kém rõ ràng hơn
    Chứng chỉ số dùng để ký gói phần mềm đúng là bị một số nhà sản xuất dùng để cưỡng chế loại trừ. Theo tôi biết thì Let’s Encrypt không ở mảng đó, nhưng trong trường hợp ấy chủ sở hữu không có quyền quyết định sẽ tin cậy tổ chức chứng thực nào, và thường chỉ có nhà sản xuất được đưa vào danh sách tin cậy. Về mặt kỹ thuật, dù đó là chủ sở hữu chứng chỉ gốc dùng để ký gói, việc có nên gọi những chủ thể như vậy là tổ chức chứng thực hay không vẫn còn gây tranh cãi
  • Tôi luôn xem đây là chuỗi tin cậy, và ai cũng có thể tạo chứng chỉ gốc rồi phân phối cho những người tin cậy mình
    Phần lớn các dịch vụ đơn giản có thể không cần TLS, nhưng trong bối cảnh ISP nghe lén liên lạc thì vẫn cần một phương thức giao tiếp an toàn, và giải pháp tốt nhất hiện nay là xây dựng chuỗi tin cậy
  • Cốt lõi của mô hình tin cậy ngay từ đầu chính là loại trừ con người. Đó là mục tiêu được nêu rõ
    Nếu chỉ muốn mã hóa mà không cần tin cậy, thì dùng chứng chỉ tự ký là được
  • Tôi cho rằng "bạo quyền số" không phải mục đích chính mà là tác dụng phụ. Chứng chỉ số chủ yếu là công cụ để ngăn một số kiểu tấn công trung gian

• Có vẻ như chỉ cần giao dịch với đối tượng bị trừng phạt là bạn đã vi phạm toàn bộ hợp đồng, khiến mọi chứng chỉ đều có nguy cơ bị thu hồi, kể cả chứng chỉ ở các quốc gia không bị trừng phạt
  Ngay từ đầu nó đã được gọi là “Subscriber Agreement”, một cái tên không hề ngụ ý phạm vi chỉ là một chứng chỉ đơn lẻ. Ngoài ra đây cũng là hợp đồng nói về quyền và nghĩa vụ đối với “Certificates” ở dạng số nhiều
  Điều 2.1 “Term” nói rằng hợp đồng có hiệu lực trong “toàn bộ thời gian mà bất kỳ chứng chỉ nào của bạn còn hiệu lực”, còn 3.1 “Warranties” viết rằng “bằng việc yêu cầu, chấp nhận hoặc sử dụng một chứng chỉ Let’s Encrypt”, nên phạm vi có vẻ khá rộng

  • Hôm nay tôi đã chào một người Iran, giờ xem Let’s Encrypt có hủy website của tôi không

• Cái này thực sự tệ. Gần như tệ nhất có thể. Nếu mọi dịch vụ nội địa ở các nước bị trừng phạt bắt đầu ngừng hoạt động, chính phủ nước đó sẽ buộc mọi người dùng cài chứng chỉ gốc hoặc cắt truy cập vào các dịch vụ và website nội địa
  Khi đó họ có thể dùng chứng chỉ gốc ấy để tiến hành tấn công trung gian. Trong kịch bản xấu nhất, sau khi đa số người dùng cài chứng chỉ gốc, thiết bị DPI cấp quốc gia có thể thực hiện tấn công trung gian với toàn bộ lưu lượng và chặn toàn bộ lưu lượng không thể bị tấn công trung gian

  • Vậy là lệnh trừng phạt đã phát huy tác dụng nhỉ
  • Tôi không hiểu vì sao bị downvote. Chính phủ Nga từng cố ép dùng chứng chỉ gốc của chính phủ cho ngân hàng thông qua Yandex Browser, và giờ chuyện này lại xảy ra

• Đây có phải là một con chim hoàng yến không?
  Nếu bắt đầu dùng mới hoặc tiếp tục dùng một chứng chỉ Let’s Encrypt ở Greenland, Cuba hay EU thì sẽ xảy ra chuyện gì?
  Có phải Let’s Encrypt đã nhận trát đòi hầu tòa không?

  • Khả năng ISRG nhận trát đòi hầu tòa là có. Bộ Tư pháp Mỹ lúc này trông như sự pha trộn giữa giới chính trị gia và những gã hề bất tài. Nhưng điều đó không có nhiều ý nghĩa. Vấn đề cốt lõi là họ chẳng biết gì cả
    Thứ được báo cho họ chỉ là thông tin ai cũng có thể xem trong log công khai, kể cả người không biết viết đúng từ “subpoena” hay không biết cách ban hành nó
    Có người tưởng tượng rằng tổ chức chứng thực nắm giữ bí mật nào đó, và người dùng đã tạo rồi gửi bí mật ấy cho tổ chức chứng thực, hoặc tổ chức chứng thực tạo ra rồi đưa bản sao cho người dùng, nên chính phủ Mỹ có thể lấy bí mật đó bằng trát đòi hầu tòa. Nhưng cốt lõi của hạ tầng khóa công khai là dùng mật mã khóa công khai. Nếu việc ai cũng giữ bí mật ở khắp nơi vẫn ổn thì cả cấu trúc này đã chẳng cần tồn tại
  • Greenland và EU không thuộc diện bị Mỹ trừng phạt

• Đây có thực sự là chuyện mới không? Với tôi nó giống hạn chế xuất khẩu tiêu chuẩn của Mỹ đối với công nghệ mã hóa. Những hạn chế như vậy đã có từ thập niên 90
  Nếu Let’s Encrypt là công ty Mỹ, hoặc bạn đăng thứ gì đó lên GitHub, hoặc phát hành gì đó trên các kho ứng dụng lớn, thì bạn sẽ chịu các hạn chế xuất khẩu liên quan đến mật mã của Mỹ. Mỗi lần tôi đăng ứng dụng lên Google Play, tôi đều phải nộp một biểu mẫu khai báo với chính phủ Mỹ về cách ứng dụng đó sử dụng mã hóa
  Những hạn chế kiểu này đã có từ cuối thập niên 1950, và có một lịch sử dài, phức tạp liên quan đến mật mã máy tính. Câu chữ này trông giống điều khoản thương mại tiêu chuẩn cần có để tuân thủ các yêu cầu xuất khẩu EAR của Mỹ

  • Chứng chỉ không phải công nghệ mật mã mà chỉ là các con số. Bên yêu cầu chứng chỉ đã cài phần mềm mã hóa trên server, còn client muốn kết nối cũng vậy
    Những con số đó không có gì đặc biệt về mặt kỹ thuật; chúng thuộc về phạm vi của khế ước xã hội rằng chuỗi tin cậy đã ban phúc cho nó
  • Nếu là một tổ chức thực sự nghiêm túc trong việc thúc đẩy quyền riêng tư, thì đáng lẽ từ thập niên 90 hay thậm chí từ thập niên 50 họ đã phải tránh Mỹ rồi. Dù vậy, thời điểm tốt thứ hai để tái lập pháp nhân ở một khu vực pháp lý an toàn chính là hôm nay

• Tôi thật sự thích từ “sanction”. Nó tự là phản nghĩa của chính nó.
  Trong “The committee sanctioned the new policy.” thì có nghĩa là phê duyệt, còn trong “The committee sanctioned the rogue nation.” thì lại có nghĩa là áp đặt trừng phạt

  • Trong tiếng Anh truyền thống có khá nhiều từ tự phản nghĩa như cleave

• Có lẽ việc dồn khoảng 60% chứng chỉ web vào một nhà cung cấp duy nhất là một sai lầm

  • May là mọi người dùng nhà cung cấp đó đều đang dùng giao thức mở, và việc chuyển đổi cũng rất dễ
  • Trước đó thì mọi thứ đều không được mã hóa và muốn lấy chứng chỉ phải trả tiền. Có thể chúng ta sẽ quay lại thời đó, nhưng giờ là một thế giới mà ai cũng biết mọi kết nối không mã hóa đều sẽ bị tấn công xen giữa. Thế giới hiện nay thù địch hơn nhiều