使用 Let's Encrypt 自动部署证书，在 win7 下会提示证书不可用，怎么处理比较好？

很多帖子说的是让用户自己更新证书，但我想知道的是也没有办法在仍然使用 lets encrypt 的情况下，不需要用户做出更改可以解决的办法。毕竟你不一定能接触到用户的。

不可以，没有办法，win7 系统更新到最新版本应该可用
@shaojz2005

没办法改变用户的内置系统证书。win7 早已停止支持，估计也没系统更新帮你更新证书了。

可以加钱吗？找那些系统根证书里还没有过期的 CA ？或者我记得 Firefox 自带证书，推荐用户使用火狐？


或者 360 哈哈哈

让用户用自带有根证书的浏览器

Let’s Encrypt 的根早就过期了啊，现在是在玩一些 trick 以获得部分系统的支持，并不保险。

acme 默认都已经改用 Zero SSL 了，你也能换就换吧。

换证书 acme.sh 部署的话可以换成 zerossl,然后最近 trust asia 也整了个免费三个月泛域名证书，支持 acme,国内 ocsp,https://blog.freessl.cn/acme-quick-start/

@JensenQian 感谢，但是感觉用别的证书，还是存在隐患，可能以后不能用

@shaojz2005 #8 这话说的，你再过 10 年，Win 7 上所有的 CA 证书都到期了，你就啥都用不了了，还用 Win7 干啥呢

目前来说换 zerossl 是个比较好的解决方案，同样的免费三个月，支持 acme ，支持泛域名，限制还比 let's encrypt 少，可选 ecc 证书链，中间证书 2030 年才到期，还支持 ip 证书，acme.sh 已经默认改用 zerossl 了

修正前面 Rocketer 的话。

1. Let's Encrypt 最早使用的根证书 "DST Root CA X3" 过期了，但他们有新的根证书 "ISRG Root X1"
详见这篇帖子： https://www.ohyee.cc/post/note_lets_encrypt

2. acme.sh 默认改用 zerossl ，有一部分原因是 zerossl 赞助了它。
详见这篇帖子下的评论： https://community.letsencrypt.org/t/the-acme-sh-will-change-default-ca-to-zerossl-on-august-1st-2021/144052

如果不需要老设备的支持，Let's Encrypt 依然是可信的。

你的 win7 不是 sp2 吧，我这里没问题啊。

https://letsencrypt.org/docs/certificate-compatibility/

这里写着只要是 winxp sp3 以上的，就会自动更新根证书。

你客户的 win7 ，可能是国内修改过的系统，手动关闭了 window update 的功能。（ Windows 7 comes with a small list of trusted CAs installed but automatically imports CAs as necessary from the Microsoft Windows Update service ）

最简单的方案是换 ZeroSSL ，虽然我个人不喜欢它。
对于 Windows ，更详细的解决方案可参见： https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
Let’s Encrypt 现在用的默认链其实是过期 DST 交叉签 ISRG ，但这只是让低版本的 Android 可以继续用到 2024 年。我刚在虚拟机里的 Windows 7 试了下，最新版 Edge 、360 极速浏览器都正常，显示的根证书是 2015 年开始的 ISRG ，我也好奇为什么这个证书出现了（ VMware Tools ？）。

eeeeem ， 买个收费的不舒服嘛。。。 也不贵啊

@chotow Windows 支持根证书自动更新功能，除非这个功能被手动关闭或者 Windows Update 被关闭否则都会自动下载 ISRG 根。