nuomiphp
正在加载…
请使用更现代的浏览器并启用 JavaScript 以获得最佳浏览体验。
加载论坛时出错,请强制刷新页面重试。
白名单 sni 自签证书的讨论
ThirdFlame
Love4Taylor
#10 是的 bilibili 的一开始也可以随意解析,后来只有 mcdn 节点上线后,解析才生效 ,不过某雷这个,已经很久了。希望迅雷一直意识不到这个事儿。
qingmuhy0
ThirdFlame
卧槽,这个流弊,已经用上了,既是真的,应该也会在白名单内。
dndx
ThirdFlame
这种申请可信证书了后都会显示在 Certificate Transparency 里: https://crt.sh/?q=nhost.00cdn.com 不介意的话的确可以用。
qingmuhy0
说一下最终解决方案,用了上面大佬提供的 CDN 域名+GRPC+SSL ,配置了访问直接跳转迅雷官网。自我感觉挺完美的。
zhengrt
dndx
今天申请了一堆 会不会被发现啊哈哈哈
dndx
@zhengrt
不介意服务器 IP 曝光就申请呗,只要申请了,记录就永远在那无法消除。就看个人能不能接受了。
ThirdFlame
dndx
#15 这个只要申请证书就有记录,关键是这个 ip 随着域名一起暴露 没办法了。 只是给大家借用白名单的思路
sbilly
ip2100177547.funshion.com
ThirdFlame
sbilly
#18 收藏了 以备不时之需
qingmuhy0
sbilly
ThirdFlame
风行的这个域名是怎么弄的?有点好奇。
zanzhz1101
qingmuhy0
sbilly
这个我试了我的 ip ,不行
swiftg
有人试过 zerossl 的 ip 证书了吗,免费的,有效期三个月
takeshima
你下次再碰到这个情况,改 host 把 apple.com 指向你的服务器,然后用浏览器访问你的网站试试
jasonselin
建议 x-ray 的 SS 开双向 ivcheck
sbilly
zanzhz1101
你咋试的?
sadan9
这个就算签了正式的证书,理论上安全性和自签差不多吧,或者更低点。毕竟域名的持有者理论上可以再签一个用于中间人。
docx
我也开了一个自签证书,暂时没发现断流什么的,楼主要不再看看?
jsq2627
细思极恐,要是真的对自签名证书搞中间人攻击,因为有很多人并不搭配自签 CA 使用,直接开了允许证书不安全,那就神不知鬼不觉地被嗅探了
datocp
哈哈完全不懂在说什么,看看专业的 stunnel 是怎么服务器端验证客户端证书再通讯,目前也仅会配置 level 2 。这个软件很多参数有些超前包括 qqmail 都不能支持 tls1.3
verify = LEVEL
verify the peer certificate
This option is obsolete and should be replaced with the verifyChain and verifyPeer options.
level 0
Request and ignore the peer certificate.
level 1
Verify the peer certificate if present.
level 2
Verify the peer certificate.
level 3
Verify the peer against a locally installed certificate.
level 4
Ignore the chain and only verify the peer certificate.
default
No verify.
verifyChain = yes | no
verify the peer certificate chain starting from the root CA
For server certificate verification it is essential to also require a specific certificate with checkHost or checkIP.
The self-signed root CA certificate needs to be stored either in the file specified with CAfile, or in the directory specified with CApath.
default: no
verifyPeer = yes | no
verify the peer certificate
The peer certificate needs to be stored either in the file specified with CAfile, or in the directory specified with CApath.
default: n
zanzhz1101
sbilly
搜一下 ip 如何转为数字
« 上一页