终于签出了一张 ISRG Root X2CN = E1 的 SSL 证书,没想到证书链里还是需要带上 ISRG Root X1 的,因为 X1 签出来的 X2

ISRG Root X1 本身又是由 DST Root CA X3 签出来的,后者已经被广泛信任,而 X1 还不是很普及。Chrome 里已经自带了 X1,但是 curl 还不能直接认

不过搞了这一次对证书链更明白了些,手动把正在用的证书里的 DST Root CA X3 都给干掉了

点来点去查到 ISRG Root X2 已经被微软接纳为根证书了,其他的(Apple / Mozilla / Google)还没

另外通过 https://crt.sh/?Identity=%25.soulogic.com&iCAID=183283 可以查到对应根证书下签过的所有证书,而 CAID 可以在 https://letsencrypt.org/certificates/ 看到

https://search.censys.io/certificates?q=parsed.names%3Asoulogic.com 可以查到所有签过的证书,发现最早一张证书可能是 2010 年从 StartCom 签的