找到了，12306由Verisign签发的证书： https://epay.12306.cn/
用自签证书的另一点理由是，有些证书（尤其像verisign之类的OV以上级别）会限定IP数量，添加IP要加钱，这样CDN就太费钱了。

@whywhywhy
你又想当然了。
实际上我删过，然后发现国内这些证书删掉后对网银、支付宝一点影响都没。
明白了吧？因为网银起作用的证书都是国外证书商的啊。甚至铁道部也有国外发的证书（忘了哪个域名），用自签证书只是因为把真证书部署在人家CDN上有风险。

完事后自动删除，说得好像轻轻松松，但加证书就是为了常驻一段时间（否则既然能塞根证书，什么权限不能有？），这段时间内就有机会被抓。

然后你后面的那一大堆完全是在无限扩大概念，却无视我特意指出的SHA-1碰撞成本。我提这点就是为了说明伪造证书然后赖账在现实中有较高的可行性，反观你举的那些例子全都只是在极端情况下有可能。

@whywhywhy 这里指的显然不是银行。


@xoxo
“不仅仅是威胁中国网民网络安全那么简单，更会让中国经济环境变得恶劣（一家政府部门都公然欺诈），国际社会会被这个国家做出制裁的！”

TSSN...
美国以色列搞伊朗时就造过假证书，然后呢？

假证书搞垮一家证书商还有可能，影响经济坏境什么的是想多了。
而且如我在11楼所说，接下去两三年，就算你抓住了那张证书，都难以完全证明那是证书商签发的。

@whywhywhy 随着SHA-1破解成本越来越低，再过段时间，被抓也未必能打死。

比如它签发一个SHA-1签名的证书用于MITM，你截取了这张证书说是它伪造的，它反咬你一口说你背后有XX提供技术资金支持，花点钱破解伪造证书来构陷它。
在2016~2017年系统及浏览器逐步停止信任SHA-1之前，碰撞一个SHA-1的成本应该已经降到$50k以内了（已是保守的预计），而且美帝又有撞MD5的前科，说你截获的证书是碰撞出来的你很难自证清白。

如果是408错误的话，说明你开了1723/443/995端口
据说2ch会扫描这几个端口，以判断你是不是一个服务器

传说中的解决方法是用iptables拒绝2ch向这些端口的连接：
iptables -t filter -I INPUT 2 -s 206.223.144.0/20 -p tcp --dport 443 -j REJECT
iptables -t filter -I INPUT 3 -s 206.223.144.0/20 -p tcp --dport 995 -j REJECT
iptables -t filter -I INPUT 4 -s 206.223.144.0/20 -p tcp --dport 1723 -j REJECT
iptables -t filter -I INPUT 5 -s 206.223.144.0/20 -p gre -j REJECT

iptables -t filter -I INPUT 6 -s 207.29.224.0/19 -p tcp --dport 443 -j REJECT
iptables -t filter -I INPUT 7 -s 207.29.224.0/19 -p tcp --dport 995 -j REJECT
iptables -t filter -I INPUT 8 -s 207.29.224.0/19 -p tcp --dport 1723 -j REJECT
iptables -t filter -I INPUT 9 -s 207.29.224.0/19 -p gre -j REJECT

参考：
http://blog.livedoor.jp/enact/archives/33870958.html
http://hayabusa3.2ch.net/test/read.cgi/news/1379177909/54

@mengzhuo
https://i0.wp.com/imgs.xkcd.com/comics/nanobots.png

futaba or Pixmicat! http://pixmicat.openfoundry.org/

Demo: http://h.acfun.tv/

LZ说的google的精确定位，就是基于HTML5 Geolocation功能。如果你没选过“总是允许”google获取你位置信息，那么启用时浏览器会有提示的。

如果你拒绝HTML5 geolocation，那么google依然会通过以下方式获取你大致位置：
* IP地址
* 历史地点
* 谷歌工具栏的位置功能（如果启用的话）
* 你最近搜索过的地点
https://support.google.com/websearch/answer/179386

@surftheair 我问的就是这个。我不是说隐私有漏洞，我只是想知道浏览器如何知道电脑的位置。


@imn1
1. 我说的是1楼和3楼的HTML5 Geolocation功能，这个功能的地理信息就是浏览器告诉网站的。
2. 默认配置的VPN并不会提交最初的IP，只会提交VPN的内网分配地址。提交客户端IP需要额外配置。
3. Firefox隐私模式照样可以获得真实地址（我指的是1楼的那个测试）。当然，这个功能是会提示是否同意提交数据的。

HTML5 Geolocation原理我在15楼已经说了。

刚看了看stackoverflow，总算明白了。
http://stackoverflow.com/questions/3041113/how-exactly-does-html5s-geolocation-work
http://stackoverflow.com/questions/3633621/how-does-chrome-know-my-geolocation

浏览器可以获取你周边所有wifi信号的信息，包括MAC、SSID、强弱等，然后去google的数据库查询（例如firefox的config里有一项是geo.wifi.uri）
像我周围有几个ChinaNet-xxxx信号，所以就容易判断位置了。
国外Google是街景小车拍照是顺便记录wifi信号的，国内大概有其他方法来获取。

@imn1 地理数据是浏览器告诉网站的，而浏览器只看得见你内衣
别人看得见你外套没错，但挂上VPN后相当于你又穿了件雨披，那么连别人也不知道你外套是怎样的。
连VPN、重开浏览器后在不同网站测试仍能获取真实数据，所以才奇怪。

@imn1 内网中的PC又是如何获取所处网络的外网IP的？挂上VPN（全局）照样能获得实际位置。

@yoo 但是路由器不能存储位置信息，那么浏览器是通过什么方法知道其他连过的设备曾经的定位的？

我的猜测是通过MAC地址匹配，比如有定位功能的设备将位置信息和路由器MAC一起发送给了第三方服务器，而我的PC连接路由器时，浏览器去这个第三方服务器用MAC查到位置。
但浏览器能查到路由器MAC吗？或者是某个系统服务做这事，浏览器则从这系统服务获取信息？

@whywhywhy
@vicesa
话说我的浏览器又是如何知道我真实位置的？
PC上没有GPS定位，而我又是通过自家的路由器上网，输ipconfig只能得到内网ip。为什么html5 geolocation依然可以获得比较精确的位置信息？

@RHFS 哦不对，试了下起作用的不是FORWARD那句，而是nat的那句


那个教程不适用于OpenVZ，因为没有MASQUERADE。
OpenVZ用这句：

iptables -A POSTROUTING -s [pptp的内网地址段] -o venet0 -j SNAT --to-source [服务器的外网ip]

内网地址段就是你在 /etc/pptpd.conf 里面设置的那个段。例如：
-A POSTROUTING -s 192.168.101.0/24 -o venet0 -j SNAT --to-source 116.251.218.39

iptables要启动的，然后加一句：

iptables -A FORWARD -j ACCEPT

@oott123 证书没事，本来就是浏览器访问就能获得。私钥才是要严格保密的。

没事别去搜索“高压锅”。天朝查水表，美帝查高压锅。