Sembra che tu voglia accettare qualsiasi certificato emesso da Let's Encrypt per il tuo dominio specifico. Questo viene fatto in modo implicito senza alcun blocco se l'unica CA radice sul dispositivo è Let's Encrypt (purché si effettui la normale convalida del certificato). Se sul sistema è presente più CA radice, è possibile eseguire il pin sulla chiave pubblica specifica della CA radice che si desidera utilizzare.
Un'altra opzione sarebbe quella di non preoccuparsi della CA, ma di eseguire il ping sulla chiave pubblica del certificato foglia. Di solito questa chiave pubblica rimane la stessa se si sta solo rinnovando un certificato, ad esempio si invierà un CSR con la stessa chiave pubblica del certificato precedente. Nel caso in cui la chiave privata fosse compromessa, potresti anche avere altre chiavi di riserva che potresti usare per creare un nuovo certificato e avere anche queste impostazioni per bloccare sul dispositivo.
Non sono sicuro di quali siano le attuali funzionalità della piattaforma ESP8266 in merito alla convalida dei certificati. Ma per quanto mi ricordo c'era un tempo in cui tutto ciò che poteva fare era controllare un certificato foglia specifico. In questo caso, la seconda opzione di bloccare la chiave pubblica del certificato foglia e riutilizzare la stessa chiave con gli aggiornamenti dei certificati dovrebbe essere più semplice da implementare.