使用 Let's Encrypt 自动部署证书，在 win7 下会提示证书不可用，怎么处理比较好？

很多帖子说的是让用户自己更新证书，但我想知道的是也没有办法在仍然使用 lets encrypt 的情况下，不需要用户做出更改可以解决的办法。毕竟你不一定能接触到用户的。

不可以，没有办法，win7 系统更新到最新版本应该可用
@shaojz2005

没办法改变用户的内置系统证书。win7 早已停止支持，估计也没系统更新帮你更新证书了。

可以加钱吗？找那些系统根证书里还没有过期的 CA ？或者我记得 Firefox 自带证书，推荐用户使用火狐？


或者 360 哈哈哈

Let’s Encrypt 的根早就过期了啊，现在是在玩一些 trick 以获得部分系统的支持，并不保险。

acme 默认都已经改用 Zero SSL 了，你也能换就换吧。

换证书 acme.sh 部署的话可以换成 zerossl,然后最近 trust asia 也整了个免费三个月泛域名证书，支持 acme,国内 ocsp,https://blog.freessl.cn/acme-quick-start/

@JensenQian 感谢，但是感觉用别的证书，还是存在隐患，可能以后不能用

@shaojz2005 #8 这话说的，你再过 10 年，Win 7 上所有的 CA 证书都到期了，你就啥都用不了了，还用 Win7 干啥呢

目前来说换 zerossl 是个比较好的解决方案，同样的免费三个月，支持 acme ，支持泛域名，限制还比 let's encrypt 少，可选 ecc 证书链，中间证书 2030 年才到期，还支持 ip 证书，acme.sh 已经默认改用 zerossl 了

如果不需要老设备的支持，Let's Encrypt 依然是可信的。

你的 win7 不是 sp2 吧，我这里没问题啊。

https://letsencrypt.org/docs/certificate-compatibility/

这里写着只要是 winxp sp3 以上的，就会自动更新根证书。

你客户的 win7 ，可能是国内修改过的系统，手动关闭了 window update 的功能。（ Windows 7 comes with a small list of trusted CAs installed but automatically imports CAs as necessary from the Microsoft Windows Update service ）

最简单的方案是换 ZeroSSL ，虽然我个人不喜欢它。
对于 Windows ，更详细的解决方案可参见： https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
Let’s Encrypt 现在用的默认链其实是过期 DST 交叉签 ISRG ，但这只是让低版本的 Android 可以继续用到 2024 年。我刚在虚拟机里的 Windows 7 试了下，最新版 Edge 、360 极速浏览器都正常，显示的根证书是 2015 年开始的 ISRG ，我也好奇为什么这个证书出现了（ VMware Tools ？）。

eeeeem ， 买个收费的不舒服嘛。。。 也不贵啊

@chotow Windows 支持根证书自动更新功能，除非这个功能被手动关闭或者 Windows Update 被关闭否则都会自动下载 ISRG 根。