■問題と解決概要

Ubuntu 16.04.7 LTSでLet’s Encryptのサイトがcurlできない環境がありました。
クライアント側で DST Root CA X3 を信頼済みCA一覧から削除することで解決したのでメモしておきます。

■参考

https://www.walbrix.co.jp/article/openssl-102-letsencrypt-crisis.html
→2. クライアント側で DST Root CA X3 を信頼済みCA一覧から削除する

■状況確認

openssl s_client コマンドを使い、証明書情報を確認します。

openssl s_client -connect ＜相手先CN＞:443 -servername ＜相手先SNI名＞ -showcerts -CAfile /path/to/ca-certificates.crt
で以下の期限切れエラー

CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT

■無効化

# バックアップ
cp -p ca-certificates.conf ca-certificates.conf.bak

# ca-certificates.confでDST_Root_CA_X3.crtをコメントして無効化
# 確認
diff ca-certificates.conf ca-certificates.conf.bak
＜ !mozilla/DST_Root_CA_X3.crt
---
＞ mozilla/DST_Root_CA_X3.crt

# 反映
update-ca-certificates

これでcurlできるようになりました。