SSL证书签发限制政策

SSL 证书的签发限制主要由国际制裁政策、国家法规以及证书颁发机构(CA)的合规要求共同决定。

以下是具体受限地区和原因分析：

一、国际制裁名单限制

由于国际主流 CA(如 DigiCert、Sectigo、Let's Encrypt)一般都需要需遵守 美国/欧盟/联合国制裁名单，因此以下地区的 域名或实体 通常无法通过国际 CA 签发证书：

地区/国家

域名后缀

限制原因

CUB - 古巴

.cu

美国长期贸易禁运（部分 CA 可能有限放宽）

IRN - 伊朗

.ir

受美国制裁（OFAC 清单）

PRK - 朝鲜

.kp

联合国及多国制裁，禁止金融和技术服务

SYR - 叙利亚

.sy

美国制裁（支持恐怖主义名单）

RUS - 俄罗斯

.ru

受美国出口限制法的限制

同时，国际 CA 机构 DigiCert、Sectigo 也已明确不支持为以下国家/地区签发 SSL 证书：

AFG - 阿富汗

BLR - 白俄罗斯

CUB - 古巴

ERI - 厄立特里亚

GIN - 几内亚

IRN - 伊朗

LBR - 利比亚

PRK - 北朝鲜

RUS - 俄罗斯

SSD - 南苏丹

SYR - 叙利亚

ZWE - 津巴布韦

某些国家通过法律强制要求使用本地 CA 或特定加密标准，间接限制国际证书的使用，如：

国家	法规要求
中国	境内网站需使用国产证书（如 CFCA、上海 CA），并完成 ICP 备案
俄罗斯	关键行业（政府、金融）需使用 GOST 加密标准证书（如 CryptoPro）
印度	部分政府项目强制要求本地 CA（如 eMudhra）

行业	限制原因
赌博/彩票	违反 CA/Browser 论坛基线要求（部分 CA 需额外审核）
成人内容	部分 CA 拒绝签发或要求严格实名验证
暗网/非法活动	所有合法 CA 拒绝签发（域名通常为 .onion 或其他非法后缀）

四、关于 .ru 域名的签发规则

① .ru 后缀域名：目前仅 Globalsign 支持发 .ru 域名的 DV 证书，其他类型均不支持；

② 俄罗斯主体的 OV 证书：(域名不带 .ru 字样，但是企业名称带俄罗斯)

A. Globalsign DV 支持，OV、EV 不支持；

B. CFCA 全部不支持；

C. Digicert 判断标准是企业注册地是否是俄罗斯；

D. Certum 全部不支持；

E. Sectigo 判断标准是企业注册地是否是俄罗斯；