letsencrypt 如何使用新证书链（ISRG Root X1）签名网站证书

This topic created in 1734 days ago, the information mentioned may be changed or developed.

使用--preferred-chain "ISRG Root X1" 签出来的证书还是 DST root ca x3 这个证书链。因为网站不考滤老设备的兼容问题想提前过度到 ISRG Root X1 。

isrg

root

证书

证书链

6 replies • 2021-08-31 11:15:01 +08:00

phy25

Aug 31, 2021 via Android

https://community.letsencrypt.org/t/how-to-obtain-a-certificate-with-sole-root-ca-of-isrg-root-x1/139788/5

jim9606

Aug 31, 2021

建议直接用 ECC 证书链，也就是 X1->X2->E1 这条链，填一个表单请求将账户列入白名单
( https://community.letsencrypt.org/t/ecdsa-availability-in-production-environment/150679 )

wuchuwei

Aug 31, 2021

@phy25 我理解不了你发的连接上面的意思。你能给我讲一下吗？

shinciao

Aug 31, 2021

Let's Encrypt 现在默认提供的证书链是 Server <-- R3 <-- X1 <-- DSTX3 这样的，但是浏览器的证书链选择是个玄学问题，不一定按你服务器发的证书链来（ FireFox 更是完全不管服务器发送的中间证书）
所以正如一楼提供的链接所说，你没有办法控制每个浏览器显示的证书链

wuchuwei

Aug 31, 2021

@lanternxx
@jim9606
@phy25

wuchuwei

Aug 31, 2021

@lanternxx
@phy25
@jim9606 谢谢大家