原因：在老版本的 debian 系统里，使用 curl 或 wget 访问 let's Encrypt 发的证书站点时，会提示证书过期。因为证书中包含 DST Root CA X3 的指向，curl 不会自动选择 ISRG Root X1 的证书，且因为 DST Root CA X3 的证书在 2021 年过期，所以 curl 报错。

尝试：

1. vi /etc/ca-certificates.conf # 编辑证书配置文件内容，注释掉 DST ROOT CA X3 的证书文件，如 !mozilla/DST_Root_CA_X3.crt
2. update-ca-certificates --fresh # 更新证书

参考：

• https://manpages.debian.org/jessie/ca-certificates/update-ca-certificates.8.en.html
• https://cloudraya.com/knowledge-base/fix-broken-letsencrypt-ssl-certificate-due-to-expired-root-ca-certificate/
• https://curl.se/docs/sslcerts.html
• https://manuals.gfi.com/en/kerio/connect/content/server-configuration/ssl-certificates/adding-trusted-root-certificates-to-the-server-1605.html
• https://community.certifytheweb.com/t/still-getting-dst-root-ca-x3-as-the-root/1510/4