Let's Encrypt 签发的证书在 xp 系统访问失败

系统没有内置根证书?

@malusama 啥意思没明白

xp 系统不认识 letsencrypt 的根证书和中间证书
换用自己管理证书的浏览器应该能可以，比如 firefox

我猜需要更新 CA 证书，毕竟 XP 够老了，可能没有收录 Let's Encrypt

@seki 用的是 chrome 访问失败，我试试火狐

@malusama
@seki
@fengtons
为什么这个网 https://imququ.com/ 也是用的 let's 的证书，却可以访问?

不如把你的网站发出来

@herozzm 手头没有 xp 系统。你可以浏览器里面查看你的网站的证书信息，看看是哪里不被信任

可能加密算法不支持？

用 ssl3 试试？

@malusama https://www.fzzhaobiao.com

这里有文档 https://letsencrypt.org/zh-cn/docs/certificate-compatibility/

这里可以测兼容性 https://www.ssllabs.com/ssltest/

用 https://www.ssllabs.com/ssltest 看了一下，看起来是服务器配置问题，第二证书不匹配

@seki
怎么看的？我就看到 ie6/xp 下不行
申请下来一堆证书，fullchain.cer 和域名.xx 一堆后缀，我就用了 fullchain.cer 和域名.key 两个

XP 自带的 TLS 库最大的问题是不支持 SNI

@Laforet 我删除其他的证书了，一个服务器上就一个域名证书

不关证书的事。

先确认协议，IE 6 默认没有开 TLS，默认最高是 SSLv3 ；其次确认通过 IP 访问可以获取到证书，因为 XP 系统 IE 浏览器不支持 SNI，IE 6 获取证书是通过 https://ip 去获取的。你可以在 chrome 浏览器打开这个链接去确认，因为你的证书里没有 IP 地址，chrome 会提示你证书错误并返回证书包括的域名，你看证书域名是不是你这个就行了。

补充一下，IE 6 默认没有开 TLS，但在绝大部分用户的实际使用环境中都是开了的，不知道是安全软件帮他们开的还是其他浏览器帮他们开的，我提这个只是提醒你要测试的话，得注意这一点。在浏览器设置里可以更改允许的协议。

要完全兼容 IE6 的话，得给 ssl_protocols 加上 SSLv3，密码套件的话，好像有 RSA+AES 就可以。按我说的排查准没错，我之前网站就是兼容 IE 6，也用的 Let's Encrypt 证书。

@eason1874 xp 下不支持 ecc 证书，使用了双证书，现在是 xp+ie8 不能访问

@herozzm #19 一样的，XP 系统下的 IE 都不支持 SNI，都需要能通过 IP 获取证书。只是我说的情况是 RSA 证书，没想到你用了 ECC 证书。

如果在 XP 下 IE6 能访问了，那 IE8 也应该可以，你先清理缓存试试。