一开始用的是 v3.7 版，中科大的源（清华的源同样问题），默认为 http，改为 https 后更新不了，出错提示如下

#apk update
fetch https://mirrors.ustc.edu.cn/alpine/v3.7/main/x86_64/APKINDEX.tar.gz
127499998981068:error:14007086:SSL routines:CONNECT_CR_CERT:certificate verify failed:ssl_clnt.c:1026:
ERROR: https://mirrors.ustc.edu.cn/alpine/v3.7/main: Permission denied
WARNING: Ignoring APKINDEX.1076f322.tar.gz: No such file or directory
fetch https://mirrors.ustc.edu.cn/alpine/v3.7/community/x86_64/APKINDEX.tar.gz
127499998981068:error:14007086:SSL routines:CONNECT_CR_CERT:certificate verify failed:ssl_clnt.c:1026:
ERROR: https://mirrors.ustc.edu.cn/alpine/v3.7/community: Permission denied
WARNING: Ignoring APKINDEX.ca14b9dd.tar.gz: No such file or directory

后来试了几个版本 3.6，3.9，3.10 ，3.12 ，3.14 都可以用 https(USTC)，只有 3.7 和 3.8 不用了 https 。

改回 http 后是正常的

#apk update
fetch http://mirrors.ustc.edu.cn/alpine/v3.7/main/x86_64/APKINDEX.tar.gz
fetch http://mirrors.ustc.edu.cn/alpine/v3.7/community/x86_64/APKINDEX.tar.gz
v3.7.3-184-gffd32bfd09 [http://mirrors.ustc.edu.cn/alpine/v3.7/main]
v3.7.3-194-gcddd1b2302 [http://mirrors.ustc.edu.cn/alpine/v3.7/community]

最后，v3.7 用南京大学的源后，可以使用 https

#apk update
fetch https://mirrors.nju.edu.cn/alpine/v3.7/main/x86_64/APKINDEX.tar.gz
fetch https://mirrors.nju.edu.cn/alpine/v3.7/community/x86_64/APKINDEX.tar.gz
v3.7.3-184-gffd32bfd09 [https://mirrors.nju.edu.cn/alpine/v3.7/main]
v3.7.3-194-gcddd1b2302 [https://mirrors.nju.edu.cn/alpine/v3.7/community]

还好这个发行版容量小安装快（选它也是因为容量问题），否则都不会安装几个版本来测试。

yzwduck

2021-10-11 22:53:17 +08:00

问题确实是在 Let's Encrypt 的根证书上，但不是 CA 列表问题。
ISRG Root X1 ( https://crt.sh/?id=9314791) 的证书确实在 /etc/ssl/certs/ca-certificates.crt 里，但是 ISRG 原先证书链的根证书 DST Root CA X3 ( https://crt.sh/?id=8395) 过期了，很多旧版本的 SSL 库在 X1 列在 CA 里的情况下，仍然因为 X3 过期而拒绝连接。
解决方法貌似只能更新 SSL 库。

在 macOS 10.15 以及之前的系统上，LibreSSL 也因为相同原因，无法连接 Let's Encrypt 的网站。

alpine 用国内源，出现 https 证书问题

最后，v3.7 用南京大学的源后，可以使用 https