я думала, что CA сертификаты сдохли, но они на сервере и на моём компе одинаковы. и сервер нормально работает с другими серверами. и это странно. но попробую обновить.

нет, CA не менялись. вообще непонятно, что происходит.

в общем, это из-за смены сертификатов LE. а в OpenSSL (и в LibreSSL тоже) проверка сертификата возвращает 10 (certificate expired), если один из сертификатов СА протух. и почему-то он не пытается использовать другие сертификаты, а просто обваливается и всё.
чинится просто:
удаляется сертификат DST_Root_CA_X3.crt(pem) (правда, у меня пришлось его в двух местах удалять - из /etc/ssl/certs и из /usr/share/ca-cwrtificates/mozilla/) и потом sudo update-ca-certificates
причём я сначаа удалила сертификаты, но это не возымело эффекта. только магический апдейт заставляет его бросить каку.