科大镜像站的 HTTPS 证书由 Let’s Encrypt 签发。在 2021 年 9 月 30 日后，受到 Let’s Encrypt 默认证书链中 DST Root CA X3 根证书过期，以及旧版本的 TLS 库（如 OpenSSL, GnuTLS, LibreSSL）验证证书链时的逻辑问题影响，部分长时间未更新或仍在使用不受支持的 Linux 发行版的用户，部分使用较老版本 macOS 的用户，以及使用某些自带旧版本 TLS 库的软件的用户会发现在使用 HTTPS 方式访问镜像站时，会出现类似「证书过期」的错误提示。

为了解决此问题，今日凌晨，科大镜像站的证书进行了更新，使用 Let’s Encrypt 的「备用链」签发证书。新的证书链中不再包含 DST Root CA X3。此次更新带来的已知副作用是：由于根证书库中不包含 ISRG Root X1 证书，Android 7.1.1 以下的用户不再能够正常使用 HTTPS 访问镜像站。如果您使用的操作系统或软件的根证书中不包含 ISRG Root X1，请使用 HTTP 访问镜像站，或尝试设置忽略证书错误。

更多信息详见 https://github.com/ustclug/discussions/issues/372。

Update 1 (2021/10/15): 镜像站中反向代理的域名（*.proxy.ustclug.org）由于考虑其同时包含面向浏览器与命令行工具的反向代理，目前证书链中仍然包含 DST Root CA X3。如使用时遇到证书问题，可按照 https://github.com/tuna/issues/issues/1342#issuecomment-931412628 的指导更新系统的相关软件包。