Es gab wohl bis 2016 eine Ausnahme für Https oder eine eingeschränkte Ausnahme für HTTPS für Logins...Da durfte man sich selbst als US Export compliant erklären...
Gilt die Ausnahme nicht seit 2016?
Zitat:
You will notice (at least as of today,
Dec 1st 2016) when you go to submit your app for review and reach the Export Compliance walkthrough, you'll notice the menu now states that HTTPS is an exempt version of encryption (if you use it for every call):
https://stackoverflow.com/questions/...19650#40919650
Falls nicht, ist die Stackoverflow Antwort veraltet, eine neue Antwort die den aktuellen Stand erläutert wäre hilfreich.