acme.sh项目：解决Let's Encrypt证书链变更导致的旧Android设备兼容性问题

背景概述

2024年2月8日起，Let's Encrypt正式停止默认提供DST Root CA X3交叉签名证书链。这一变更导致运行Android 7.0及以下版本的旧设备出现NET::ERR_CERT_AUTHORITY_INVALID错误，因为这些设备未内置ISRG Root X1根证书。

技术原理

Let's Encrypt原先采用双证书链策略：

1. 主链：ISRG Root X1 → R3
2. 兼容链：DST Root CA X3 → ISRG Root X1 → R3

新策略移除了对DST Root CA X3的依赖，但旧Android设备仅信任DST Root CA X3根证书，因此需要手动配置兼容模式。

解决方案（acme.sh实现）

方法一：单次签发指定证书链

acme.sh --issue -d example.com --preferred-chain "DST Root CA X3"

方法二：全局默认配置（推荐）

1. 设置默认证书链：

acme.sh --set-default-chain --preferred-chain "DST Root CA X3" --server letsencrypt

2. 验证配置： 检查~/.acme.sh/ca/acme-v02.api.letsencrypt.org/directory/ca.conf文件是否包含：

DEFAULT_PREFERRED_CHAIN='DST Root CA X3'

注意事项

1. 此兼容方案有效期至2024年6月6日（Let's Encrypt官方支持截止日）+90天证书有效期
2. 使用--renew时必须已配置默认链，否则需通过--preferred-chain参数显式指定
3. 手动验证证书链是否完整：
   • 完整链应包含3个证书（约3.5KB）
   • 可通过openssl x509 -in fullchain.cer -text查看证书层级

技术细节补充

当出现兼容性问题时，可手动将DST Root CA X3证书追加到fullchain.cer文件末尾，格式为：

-----BEGIN CERTIFICATE-----
[证书内容]
-----END CERTIFICATE-----

长期建议

建议用户逐步淘汰依赖旧根证书的设备，因为：

1. DST Root CA X3已于2021年9月到期
2. Let's Encrypt将在2024年完全停止兼容支持
3. 现代操作系统均已更新信任库包含ISRG Root X1

通过合理配置acme.sh，可确保服务在过渡期内保持对所有设备的兼容性。