@v2yllhwa 因为只有 acme.sh 支持这么搞。标准的 acme 协议不支持这种。

@codehz 是的，「显示付款信息」是动机，「利用 RCE 」是为了完成动机所做的行为。

@NanoApe 我觉得还是应该警惕，今天可以显示付款信息、二维码，以后就有能力做「匿名数据收集」，再往后如果哪天「 CA 受到外部压力，奉命收集用户私钥，搞双证书体系」也是有可能的。

@Jirajine

首先现有的 PKI 体系有两个攻击面，一个是 CA 角度的，也就是利用 CA 的错误或者让 CA 故意颁发错误的证书。一个是在客户端角度的，也就是修改客户端的根证书列表。

「 CT 可以保证无法在公网环境下大规模部署 MITM 攻击」：CT 并不能保证什么，它只能有限地增加安全性。必须意识到这一点，没有绝对的安全，CT 只不过是加了一把钥匙。CT 是针对 CA 的，如果 MITM 有能力在客户端植入证书，那么 CT 无能为力。

「但不能防止部署于私域网络下和针对特定目标的攻击」：可以，最简单的例子就是：只要不安装客户端，公司的审计软件就无法获取到你的 HTTPS 浏览记录（当然 SNI 是明文的可以被获取）



「高价值目标来说使用 PKI 的 HTTPS 可以认为是不安全的」：高价值目标应该有选择性的信任 CA ，并吊销信用不好的证书。我自己的习惯就是任何设备到手先删掉 CFCA 。

「无论吊销哪家 CA ，你都不能确定其他 CA 中没有和国家级力量合作」：还是那句话，没有绝对的安全。你总归有个东西要去信任的。没有绝对不受限制的东西，你只能做到「在中国用 Pixel ，在美国用华为」。

「没有必要规定预置专有根证书也足以监控特定目标的流量」：和公司监控员工的例子一样，你总得想个办法给人家的设备里塞根证书。问题是这很难做到。我很难说攻击特定设备和控制 CA 哪个难一点，说实话我觉得在现代社会都挺难的。

看你短时间问了这么多同一个问题，我知道你很急，但是你先别急。说真的建议你好好学习一个，提高自己的姿势水平，去好好读读计算机网络。另外希望你能过去学习一下提问的智慧： https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md - 这本来是一个技术论坛，但是现在看来越来越多的人不会以一个技术人的方式提问了。你的提问方式和提问态度让人有点 I'm angry.

1. ping 和端口不是一回事。ping 是 ICMP 协议，而我们说的监听端口，是指的监听 TCP 协议端口。
2. 想要检测 TCP 的连通性，请使用 tcping 。
3. 如果 TCP 端口通，但是 ping 不通，说明防火墙没有放行 ICMP 协议。请逐个检查服务器后台的防火墙 /安全组、服务器上运行的面板的防火墙、服务器的 CLI 防火墙，任意一个没有放行就不能通。
3. 检查监听的 IP 地址是 0.0.0.0 还是 127.0.0.1 。如果监听的 IP 是 127.0.0.1 那么只有本机能访问，外网是无法访问的。

顺便回答你别的问题：
频繁修改域名解析会导致解析故障吗？
YES AND NO ！ DNS 故障是有严格定义的，比如 DNS 查询返回 NXDOMAIN 或者 SERVERFAIL ，而 DNS 本身是一个 pull 系统而不是 push 系统，也就是你修改解析并不会主动将更新推送到递归服务器——而是等待递归 DNS 去查询你的解析记录。这不会导致任何的 DNS 故障，只是「解析还没生效」，也就是「有缓存」。多次频繁的修改，让不同的递归 DNS 获得了不同的解析值，导致了解析混乱，最终表现出来「我的网站无法访问了」，其实是缓存没有刷新，而不是 DNS 故障。建议你去了解一下 DNS 的解析过程，权威服务器和递归服务器的区别，并去阅读一下 dig 命令的 man 文档，你的很多问题可以迎刃而解。

为啥在狗云上建的站好像连通性不好？
先问是不是，再问为什么。你描述的故障是「请求找不到主机」，也就是你的 DNS 记录存在问题，DNS 设置错误或者还没有生效。他家的线路确实质量并不高，质量从低到高为 CLD < KC < CMI 。热门主流的香港机房都容易被 DDoS 攻击，一旦被攻击就会存在连通性问题，作为个人用户只能接受。


会被站方停服吗？
会。
虽然人家是 oneman ，但是他家还算良心，技术实力也很强。我也是他家的用户，我不希望你这种滥用方式把人家搞没了。况且他家需要实名，你用实名的服务器干这种事，你觉得合适吗？所以我的回答是「会」。任何行为都要承担风险，如果承担不起那就想办法分散风险。

如果在你电脑上装软件了，肯定能
微信的话，只有手机端是 E2E （其实是服务器和你的设备 E2E ，不是你的设备和对方的设备 E2E ），电脑端似乎不是

@suriv520
1. 并不是这样。许多个人或商用电脑，都会带有国际标准的 TPM 芯片。它们不支持 SM 算法。一般国内销售时禁用，但是用户可以主动打开（会弹出警告「 TPM 可能在您的国家违法」之类的）。商用采购的时候，在 BOM 物料清单上会有一条「已禁用 TPM 」或「已移除 TPM 」以满足合规要求。
2. OpenSSL 作为软件，不在《条例》管辖范围内。《条例》仅针对硬件产品。
3. 操作系统里确实有国产根证书，但是只有一个 CFCA 。这个去根证书列表里看一下就知道了。我国没有法律规定操作系统必须安装国产证书。而且，预置证书与否，决定权在操作系统厂商，比如之前 CNNIC 的证书就被吊销了。而国产根也必须在国际的 CT 机制下行事，接受国际标准的审计，如果作恶也会被移出根证书列表。所以除非动用量子计算机，HTTPS 确实不能被监听，即使是国家级的力量也不行。如果你实在不放心，可以选择手动吊销 CFCA 证书。
4. 我没有听说过 CPU 里有「预装证书」的说法。但是国产的 CPU 基本都会选择支持 SM ，因为这是卖点。

不支持，Wireguard 是三层协议，不是二层协议

「工作原因，需要第二个浏览器和私人数据分隔开，所以需要在 chrome 之外再加一个浏览器」可以使用 Chrome 或者 Firefox 的多用户功能

「 Outlook 有替代品吗」 Thunderbird 非常不错

可以的，但是后果自负，可能会出问题
很多地方防火墙 /软件默认配置 区分是否是「可信地址」的时候 都是看 IP 是否是标准的私有地址
我就在用 7.12.0.0/24 作为我 Wireguard 组网的地址

国内厂商都这样啊……大环境如此
不过还是支持楼主，虽然最后不一定管用，但是至少努力过

AX1800

看你的网络瓶颈在哪里，如果瓶颈在内网交换，那么可以通过一个高性能核心路由，下面接三个下级路由、每个带 30 设备解决。如果在出口，那么只能加钱，毕竟转发速率限制在那里。

清空 EFI 分区重新安装 GRUB 吧
内核这种东西应该不会滚挂，就像 A/B 分区总会留着之前能用的那个的……你这个像是 GRUB 坏了

扁平化，全放~/Code 没有目录分级

支持法院起诉。
激活 Windows 后不可退款就是流氓条款。
可惜中国不是判例法国家。

koa 吧，如果只需要 API 不需要前端的话

TLS over TLS 识别
建议换 VISION+REALITY 协议

做个开源软件镜像啊，把 node python go jdk .net 什么都放上去

150TB ，建议本地存储，上磁带机