针对你遇到的固件下载时Let's Encrypt证书无效的问题，我整理了几个可行的解决思路，按优先级推荐：

1. 先确认路由器系统时间是否正确 #

证书验证高度依赖准确的系统时间，如果路由器的时间和当前实际时间偏差过大（比如差几个月以上），Let's Encrypt的证书会被判定为无效。

• 登录路由器SSH，执行命令查看当前时间：

  date
  

• 如果时间不对，先手动同步NTP（前提是路由器能临时访问公网）：

  ntpd -q -p pool.ntp.org
  

同步完成后再尝试重新下载固件。

2. 临时跳过证书验证下载固件（紧急场景使用） #

如果时间同步后还是有问题，可以用wget的--no-check-certificate参数跳过证书校验，命令如下：

wget --no-check-certificate https://downloads.openwrt.org/chaos_calmer/15.05.1/mvebu/generic/openwrt-15.05.1-mvebu-armada-385-linksys-shelby-squashfs-sysupgrade.tar

下载完成后执行升级命令：

sysupgrade -v openwrt-15.05.1-mvebu-armada-385-linksys-shelby-squashfs-sysupgrade.tar

⚠️ 注意：跳过证书验证会有安全风险，仅建议在确认下载源可信的情况下使用。

3. 改用HTTP协议下载固件 #

旧版本的OpenWRT（比如你用的Chaos Calmer 15.05.1）对现代HTTPS证书的支持可能不完善，试试切换到HTTP下载：

wget http://downloads.openwrt.org/chaos_calmer/15.05.1/mvebu/generic/openwrt-15.05.1-mvebu-armada-385-linksys-shelby-squashfs-sysupgrade.tar

下载完成后，建议校验固件的哈希值（可以在OpenWRT官网找到对应固件的MD5/SHA256值），确保固件未被篡改：

md5sum openwrt-15.05.1-mvebu-armada-385-linksys-shelby-squashfs-sysupgrade.tar

4. 本地下载固件后通过Web界面升级 #

如果命令行下载始终有问题，换个方式：

• 用电脑上的现代浏览器直接下载该固件（如果浏览器提示证书问题，可能是旧浏览器不支持，换Chrome/Firefox等新版本）；
• 登录OpenWRT的Web管理界面，进入「系统」→「升级」页面；
• 点击「选择文件」，选择本地下载好的tar固件，然后点击「升级」即可。

额外建议 #

Chaos Calmer是2016年的旧版本，其内置的根证书库早已过时，这也是你遇到证书问题的核心原因之一。完成本次升级后，建议尽快升级到OpenWRT的最新稳定版，避免后续再遇到类似的HTTPS证书问题。

内容的提问来源于stack exchange，提问作者dvdsmpsn