Hoarder项目Docker镜像中缺少新版Let's Encrypt中间根证书问题解析

在使用Hoarder项目的Docker镜像时，部分用户遇到了与Let's Encrypt证书验证相关的问题。当NEXTAUTH_URL设置为使用反向代理的完整域名时，应用程序无法正确验证HTTPS证书，导致认证服务查询失败。

问题现象

用户报告称，虽然浏览器可以正常访问配置了Let's Encrypt证书的网站，但在Docker容器内部却无法验证这些证书的有效性。具体表现为：

• 应用程序无法通过HTTPS查询认证服务端点
• 使用curl测试容器内访问时出现证书验证错误
• 问题主要影响使用新版Let's Encrypt证书链的网站

根本原因

经过分析，问题根源在于Docker镜像中的证书存储不完整：

• 镜像中只包含了ISGR X1根证书
• 缺少新版Let's Encrypt中间根证书（如R10、R5等）
• 当网站使用新版证书链时，容器无法构建完整的信任链

解决方案

针对此问题，社区提供了几种有效的解决方法：

1. 手动添加缺失证书 将缺失的R10.pem等证书文件手动添加到容器中，并在请求时指定使用这些证书。

2. 挂载主机证书存储 通过Docker卷将主机的完整证书存储映射到容器中：

   volumes:
     - /etc/ssl/certs/ca-certificates.crt:/etc/ssl/certs/ca-certificates.crt:ro
   

   并设置环境变量：

   environment:
     NODE_EXTRA_CA_CERTS: /etc/ssl/certs/ca-certificates.crt
   

3. 更新基础镜像 等待项目维护者更新Docker镜像的基础系统，包含完整的证书链。

技术背景

Let's Encrypt定期更新其根证书和中间证书以提高安全性。新版证书使用不同的信任链，需要客户端具备相应的根证书才能完成验证。Docker镜像通常基于精简的Linux发行版构建，可能不会包含所有最新的根证书。

最佳实践建议

对于生产环境，建议：

1. 定期更新Docker镜像以确保包含最新的根证书
2. 对于关键服务，考虑使用自定义镜像预先包含所需证书
3. 在CI/CD流程中加入证书验证测试
4. 监控证书到期和信任链变更情况

此问题虽然影响范围有限，但对于使用新版Let's Encrypt证书的用户来说可能造成服务中断。通过上述解决方案，用户可以快速恢复服务正常运行。