цепочка сертификатов apt использует небезопасный алгоритм
То, что сказал Иоанн, верно. Что вам нужно сделать, так это установить USB как ваш самый высокий приоритет загрузки в вашем BIOS. Таким образом, он всегда будет загружаться с любого работающего USB, а не с любой установленной ОС, если вы не укажете по-другому. Просто не забудьте удалить установочный носитель, когда закончите. Кроме того, если вы еще не установили загрузчик GRUB (GRand Unified Boot -). GRUB позволяет вам легко выбрать ОС, с которой будет загружаться каждый раз, когда вы запускаете свою машину. Удачи!
Ссылка PKISolutions оказалась очень полезной. Изучив это, я увидел, что сертификат политики ca был подписан sha1. И это был небезопасный алгоритм в цепочке. Политика CA обновлена в прошлом году и теперь подписана sha256. Теперь цепочка постоянно без sha1 и apt принимает сертификат.