いまさらながら、もう少しで古いAndroid（7.1以下?未満? 大体3割強ぐらい？）だとLet’sEncriptのsslが効かなくなることを知った。「出来立てのころは自前のCAだと知名度なくて実質認証できないからよそのCAに協力してもらってたけど基本自立するよ」ということらしい。（意訳）

optionで1年ぐらい延命できるとのことなので対応中。作業メモがてら記録に残しておく。

certbotの場合はoption(–preferred-chain)で元々のCA(DST Root CA X3)をしていすれば良いらしい。なお、–force-renewalオプションを付けていないとまだ期限内だよと更新してくれないから付けておく。まとめると下の感じ。

certbot-auto certonly --preferred-chain "DST Root CA X3"  --force-renewal ＋いつものオプション

いちおう証明書のCAと内容も確認しておく

openssl s_client -connect ドメイン:ポート | openssl x509 -noout -enddate
openssl s_client -connect ドメイン:ポート -showcerts

見た感じ想定どおり更新されている。程良い試験端末ないので動作確認はしない！

メインのサーバ群はletsencrypt-nginx-proxy-companion使っているけどそっちでの設定方法（あるのか？）はこれから調べる。

（追記）

2020/10/1時点では対応されていなけど、issueがあがっていて使っているsimp_leが対応してからの模様。「先にsimp_le(のフォーク)にイシューたてな！」といっているのですぐではなさそうな雰囲気。