ハクソク

世界を動かす技術を、日本語で。

Let's Encryptが米国の制裁対象地域での証明書の使用を禁止

1日前原文(letsencrypt.org)

概要

  • ご提供の内容は PDFファイルのバイナリデータ です。
  • テキスト情報や内容は 直接抽出できません
  • PDFを テキスト化 したい場合、変換ツールの利用が必要です。
  • 具体的な内容や要約は PDF本文のテキスト提供が必要 です。
  • 必要な場合は PDFからテキストを抽出して再送信 してください。

PDFファイルデータの取扱いについて

  • ご入力いただいた内容は、 PDFファイルの内部データ であり、直接的なテキストや文章は含まれていません。
  • PDFバイナリデータ は、通常のテキストエディタやチャットツールでは 読み取ることができません
  • PDFの内容を要約・翻訳・編集したい場合は、 PDFからテキストを抽出する必要 があります。
    • 例:Adobe Acrobat、Google Drive、PDF to Text変換ツールなどの利用
  • テキスト抽出後、その内容を 再度ご送信いただければ、要約・翻訳・編集が可能です。

今後のご案内

  • PDF内容の要約や翻訳をご希望の場合
    • PDFからテキストデータを抽出
    • 抽出したテキストをこのチャットに貼り付け
    • 必要に応じて「要約」「翻訳」「編集」などのご要望を記載
  • PDFファイル自体のアップロードや解析は未対応
    • 現在のチャットシステムでは ファイル自体のアップロードや自動解析は非対応
    • 必ず テキストデータで送信 してください

まとめ

  • 今回のご入力内容は PDFファイルの生データ のため、内容確認・要約・翻訳などは 対応できません
  • 必要に応じて PDFからテキストを抽出し、再送信 してください。
  • ご不明点やご要望があれば、 具体的な指示 をお伝えください。

Hackerたちの意見

これってカナリアなの?グリーンランドとかキューバ、EUから一つのLet's Encrypt証明書を使い始めたり続けたりしたら、どうなるの?Let's Encryptは召喚状を受け取ったの?

グリーンランドもEUもアメリカから制裁を受けてないよ。

Letsencryptは召喚状を受け取ったの? ISRGが召喚状を受け取った可能性はあるけど、アメリカの司法省がハッカーと無能なバカの混合みたいだから、あまり関係ないよ。だって、彼らは何も知らないから。君が彼らに言ったことは、実際に誰でも見ることができる形で公開されてるし、「subpoena」のスペルすら知らないんだから、発行することなんてできないよ。一部の人は、CAが何か秘密を持ってると思ってるみたいだけど、そもそも公開鍵基盤の目的は、公開鍵暗号を使うことなんだよ。みんなが秘密を持ってたら、この仕組み自体が必要ないんだから。

Let's Encryptは、アメリカやその手先以外のヨーロッパに支部を持てないのかな?彼らは自分たちの目標を裏切ってる気がする。彼らの「About」ページにはこう書いてあるよね。「これは公共の利益のために運営されているサービスです。 [...] ドメイン名を持っている人は誰でも、Let's Encryptを使って無料で信頼できる証明書を取得できます。 [...] Let's Encryptは、どの組織の支配を超えたコミュニティの利益のための共同の取り組みです。」今や彼らは政治組織の支配下にあるってことだね。2026年6月4日にLet's Encryptが契約書に追加した段落はこれだよ:> あなたは以下のいずれかに該当する人または団体ではありません:> (a) 米国の包括的な制裁の対象となる国または地域に所在、またはその法律に基づいて組織されている、または通常居住している; > (b) 米国またはその他の適用される制裁および輸出管理法および規制の下で禁止または制限された当事者; > (c) (a)または(b)に記載された者の所有または管理下にある、またはその者の代理として行動している者。> あなたは、適用される米国の輸出管理および制裁法および規制に従って、Let's Encrypt証明書およびISRGが提供するサービスを使用することに同意します。

できるけど、その支部が法律に従わなかったら、アメリカ本社が責任を負うことになるよ。

完全に独立した組織の方がずっと良い選択だね。プロトコルはオープンなんだから、別のベンダーを指し示すだけでいい。

Lets Encryptは、異なるブランチに分けられるようなコードや会社じゃないんだ。彼らの存在は、ブラウザやオペレーティングシステムとの信頼関係に基づいている。技術的には、代替ルートを作るのはほぼ簡単だけど、他の世界の人々に受け入れられるための信頼を得るのは全く別の話だよ。例えば、誰かがロシアのLets Encryptを作ったとする。証明書をリクエストしてacmeチャレンジを通じて取得する技術的な側面は普通のLEと同じだけど、どのブラウザもそれを有効とは認識しないし、どのオペレーティングシステムも有効とは認識しない。ロシア政府が新しいLEを政府のコンピュータに対して有効とするかもしれないけど、他の国の参加者が同じことをするのが本当の課題なんだ。問題は技術的なものではなく、信頼に基づいた社会的なものなんだ。ロシアがウクライナに侵攻したとき、IANA/ICANNがロシアをドメイン名やIPアドレスから切り離すべきか大きな議論があったけど、その議論は、戦争が終わった後のシステム全体への害を考慮して、切り離さないという決定に至ったんだ。もし2つのルートがあったら、ドメイン名やIPアドレスが突然2つの場所を持つことになるし、それを修正するのは大変なことになる。証明書機関はこの特性を持たないから、ほぼ無限の数のルートが存在できて、互いに衝突することはないんだ(ハッシュ衝突がない限り)。もしロシアが新しいCAを立ち上げたら、希望する人は今日からそれを使えるし、戦争が終わった後も使い続けられるんだ。

制裁対象の団体と取引をすると、全世界で契約違反になって、すべての証明書が取り消されるリスクがあるみたいだね。制裁対象外の国の証明書も含めて。前提として: - これは「サブスクリプション契約」と呼ばれていて、一つの証明書の範囲を示唆するものではない - これは「あなたの[...]証明書に関する権利と義務に関する契約」 - 複数形 2.1 「期間」: - 「[契約は]あなたの証明書が有効な期間中は有効です」 - 複数形 3.1 「保証」: - 「[あなたが]Let's Encrypt証明書を要求、受け入れ、または使用することによって」 - 複数形

これでデジタル証明書が主に証明書機関の所有権のために排除を強制する手段だという直感が確認された気がする。これは、デジタル証明書に影響されるソフトウェア、ファームウェア、ハードウェア、あるいはこの場合のSSL/TLSなどの完全な所有権と管理を人々から奪うための道具なんだ。これが隠れたデジタル専制だね。

俺はいつもそれを信頼の連鎖だと思っていて、誰でもルート証明書を作って、それを信じてくれる人に配布するのは歓迎されることだと思ってる。ほとんどのシンプルなサービスにはTLSは必要ないかもしれないけど、ISPが私たちの通信を盗聴しているから、安全な通信の形が必要で、今のところ最良の解決策は信頼の連鎖を構築することなんだ。

これでデジタル証明書が主に証明書機関の所有権のために排除を強制する手段だという直感が確認された気がする。これは、デジタル証明書に影響されるソフトウェア、ファームウェア、ハードウェア、あるいはこの場合のSSL/TLSなどの完全な所有権と管理を人々から奪うための道具なんだ。これが隠れたデジタル専制だね。俺は「デジタル専制」は副作用であって、主な目的ではないと思う。彼らは特定の種類のMITM攻撃を防ぐための「主に手段」なんだ。

証明書機関が主にコントロールしてるように見えるけど、実際のコントロールはブラウザや証明書機関が信頼されているオペレーティングシステムにあるんだよね。ユーザーも、少なくとも今のところは、証明書機関を追加したり削除したりするコントロールを持ってるけど、スマホみたいなデバイスではそのコントロールがちょっと不明瞭だよね。ソフトウェアパッケージに署名するデジタル証明書は、一部のメーカーによって排除を強制するために使われてる。私の知る限り、Let's Encryptはその領域にはいないけど、所有者がどの証明書機関を信頼すべきか決める権利がない場所でもある。一般的に信頼されるのはメーカーだけだし、技術的にはルート証明書の所有者であっても、そういう存在を証明書機関と呼ぶべきかは議論の余地があるよね。

信頼モデルの全ての目的は、人々を排除することなんだ。それが明言された目標だよ。信頼なしで暗号化が必要なら、自己署名証明書を使えばいい。

イランは何ヶ月もインターネットをブロックしてるし、アメリカは...安全な接続の作成を禁止してる - これで彼らに見せつけられるね!ロシアの準政府機関は、ロシアの住民を監視するために、四兆ルーブルをTSPU(検閲システム)に使ってるし、アメリカは...暗号化されたトラフィックを監視できるように、アクセス可能な暗号化を禁止して手助けしてるんだ!

Facebookのことを知ったら、驚くよ!

Let's Encryptの証明書は、イランとロシアでも引き続き利用可能だけど、イランとロシアの政府には使えないんだ。サービス利用規約の更新は、私たちが常にしてきたこと、つまり関連法に従うことを明確にしただけで、どちらの国の状況も変わってないよ。

ウェブの証明書の約60%を一つのプロバイダーに集約するのは間違いだったかもね。

でも、そのプロバイダーを使ってるみんながオープンプロトコルを使ってるから、簡単に切り替えられるのは良いことだね。

Let's Encryptのミッションは、より安全でプライバシーを尊重するウェブを作ることなんだけど、最も必要としている国に住んでる人たちにはそれができないんだよね。確かにそれは素晴らしいことだけど、これはアメリカの敵国にSSL技術を輸出しないという狂った法律から来てると思う。ウェブブラウザが「国際フレンドリー」バージョン(40ビット暗号化対応)や「ファンシーセキュア」バージョン(128ビット暗号化対応)で出てた頃を覚えてる人もいるんじゃないかな。

現在のテクノロジー全般において、アメリカの法律システムが大きな分断を加速させて、デジタルアイアンカーテンを立ててる感じだね。AIモデルから、TLS証明書のようなもっと地味なものまで。アメリカに拠点を置く多くのLinuxディストリビューションが党の方針に従うのが標準になってるし、RedHatもLEのこの通知に似たものを出してる。意味のあるオープンプロジェクトは、どの道を選ぶかを決めなきゃいけないだろうね。RISC-Vのように移転するか、LEや他のプロジェクトのように分断を強制するか。

本当に安全でプライベートなウェブが必要なら、torを使うべきだよ。

これは、敵国にSSL技術を輸出しないというアメリカの狂った法律要件から来てると思う。これはおそらくOFACだね。Lets Encryptは制裁対象の企業と取引するためのライセンスを申請できるし、彼らの使用ケースを考えると、ほぼ承認されるだろうね。 https://ofac.treasury.gov/ofac-license-application-page

政府や軍のためにバックドアを実装しなくて済む、簡単な方法かもしれないね。

これは非常に悪い状況だね。最悪の事態だよ。制裁を受けた国々でローカルサービスが全て停止したら、その国の政府はユーザーにルート証明書をインストールさせるか、全てのローカルサービスやウェブサイトへのアクセスを失わせるだろう。そして、そのルート証明書を使ってMITM攻撃が可能になる。最悪の場合、ほとんどのユーザーがルート証明書をインストールした後、国家のDPIが全てのトラフィックをMITMして、MITMできないトラフィックを全てブロックすることになる。

なんでダウンボートされたのか理解できないよ。ロシア政府はすでにYandexブラウザを使って銀行用のルート証明書を推進しようとしたし、今はこれだもん。

「制裁」って言葉、面白いよね。自分自身の反意語になってる!「委員会は新しい政策を制裁した。」(承認した)「委員会は反乱国家を制裁した。」(罰した)

[遅延]