•
科大镜像站的 HTTPS 证书由 Let’s Encrypt 签发。在 2021 年 9 月 30 日后,受到 Let’s Encrypt 默认证书链中 DST Root CA X3 根证书过期,以及旧版本的 TLS 库(如 OpenSSL, GnuTLS, LibreSSL)验证证书链时的逻辑问题影响,部分长时间未更新或仍在使用不受支持的 Linux 发行版的用户,部分使用较老版本 macOS 的用户,以及使用某些自带旧版本 TLS 库的软件的用户会发现在使用 HTTPS 方式访问镜像站时,会出现类似「证书过期」的错误提示。
为了解决此问题,今日凌晨,科大镜像站的证书进行了更新,使用 Let’s Encrypt 的「备用链」签发证书。新的证书链中不再包含 DST Root CA X3。此次更新带来的已知副作用是:由于根证书库中不包含 ISRG Root X1 证书,Android 7.1.1 以下的用户不再能够正常使用 HTTPS 访问镜像站。如果您使用的操作系统或软件的根证书中不包含 ISRG Root X1,请使用 HTTP 访问镜像站,或尝试设置忽略证书错误。
更多信息详见 https://github.com/ustclug/discussions/issues/372。
Update 1 (2021/10/15): 镜像站中反向代理的域名(*.proxy.ustclug.org)由于考虑其同时包含面向浏览器与命令行工具的反向代理,目前证书链中仍然包含 DST Root CA X3。如使用时遇到证书问题,可按照 https://github.com/tuna/issues/issues/1342#issuecomment-931412628 的指导更新系统的相关软件包。