@alect 我感觉你可能误解了二级域名的含义
root domain: .
top-level domain: .com
second-level domain: example.com
third-level domain: www.example.com

如果你用的是 third-level domain ，那么不会有问题
如果你用的是 second-level domain ，这个坑我提醒过你了，并不是你不觉得有问题就代表问题不存在

@feedcode
@SingeeKing

是的，我的 ndots 确实是 1 。但是无论 ndots 是多少，如果 absolute domain 的解析结果是 NXDOMAIN ，都会进行「添加 search name 的查询」

所以这个问题上 ndots 不是主要问题

---


@Keystroke 似乎上我从 Typora 里复制 Markdown 的时候复制错了。稍后会更新图片，但是 CDN 缓存刷新需要时间。

---


@hyq 这种不会影响。但是在配置各种应用（ nginx 、mysql ）的时候很少会记得多加一个点吧。

@momocraft .local 可以避免这个问题

@mozhizhu 你这个是四级域名了，没问题的，只有二级域名会有问题

Why not fetch() API?

@dzdh luks 方便。还可以开机自动解锁。

无 TPM 方案： https://josephcz.xyz/technology/linux/unlock-luks-automatically-on-start/
有 TPM 方案： https://josephcz.xyz/technology/linux/luks-with-tpm2-or-fido2-and-pam-u2f/

会
可以

如果 Windows 是主力，那么 Windows 上装 VMWare 虚拟 Linux
如果 Linux 是主力，那么 Linux 上装 VirtualBox 虚拟 Windows
如果 Linux 和 Windows 同为主力，那么 PVE+显卡直通，不仅一台电脑可以当两台用，当多少台电脑用都可以。不过需要买个独显，亮机卡就行

国际空间站直播： https://live.bilibili.com/14047

懒得做罢了，实际上 mov 和 mp4 是同一种格式，但是 Apple 自带的 QuickTime 就是对 mov 支持好，对 mp4 支持不好。

实际上不管你 mkv mov mp4 里面都是 H264/H265

你要是花几千大洋买苹果的 Pro Apps ，里面的 Compressor （视频压制软件）基本支持任何 H264/H265 硬件编码

@Yadomin 毕竟他们是 CA 公司，不会用来做真正的攻击行为。

@patrickyoung
@LeviMarvin
他们是 Sectigo 分销，好像没有自己的中间证书。市面上很多家 CA 都是 Sectigo 的，你吊销了 Sectigo 证书那会误伤很多网站

@v2yllhwa 因为只有 acme.sh 支持这么搞。标准的 acme 协议不支持这种。

@codehz 是的，「显示付款信息」是动机，「利用 RCE 」是为了完成动机所做的行为。

@NanoApe 我觉得还是应该警惕，今天可以显示付款信息、二维码，以后就有能力做「匿名数据收集」，再往后如果哪天「 CA 受到外部压力，奉命收集用户私钥，搞双证书体系」也是有可能的。

@Jirajine

首先现有的 PKI 体系有两个攻击面，一个是 CA 角度的，也就是利用 CA 的错误或者让 CA 故意颁发错误的证书。一个是在客户端角度的，也就是修改客户端的根证书列表。

「 CT 可以保证无法在公网环境下大规模部署 MITM 攻击」：CT 并不能保证什么，它只能有限地增加安全性。必须意识到这一点，没有绝对的安全，CT 只不过是加了一把钥匙。CT 是针对 CA 的，如果 MITM 有能力在客户端植入证书，那么 CT 无能为力。

「但不能防止部署于私域网络下和针对特定目标的攻击」：可以，最简单的例子就是：只要不安装客户端，公司的审计软件就无法获取到你的 HTTPS 浏览记录（当然 SNI 是明文的可以被获取）



「高价值目标来说使用 PKI 的 HTTPS 可以认为是不安全的」：高价值目标应该有选择性的信任 CA ，并吊销信用不好的证书。我自己的习惯就是任何设备到手先删掉 CFCA 。

「无论吊销哪家 CA ，你都不能确定其他 CA 中没有和国家级力量合作」：还是那句话，没有绝对的安全。你总归有个东西要去信任的。没有绝对不受限制的东西，你只能做到「在中国用 Pixel ，在美国用华为」。

「没有必要规定预置专有根证书也足以监控特定目标的流量」：和公司监控员工的例子一样，你总得想个办法给人家的设备里塞根证书。问题是这很难做到。我很难说攻击特定设备和控制 CA 哪个难一点，说实话我觉得在现代社会都挺难的。

看你短时间问了这么多同一个问题，我知道你很急，但是你先别急。说真的建议你好好学习一个，提高自己的姿势水平，去好好读读计算机网络。另外希望你能过去学习一下提问的智慧： https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md - 这本来是一个技术论坛，但是现在看来越来越多的人不会以一个技术人的方式提问了。你的提问方式和提问态度让人有点 I'm angry.

1. ping 和端口不是一回事。ping 是 ICMP 协议，而我们说的监听端口，是指的监听 TCP 协议端口。
2. 想要检测 TCP 的连通性，请使用 tcping 。
3. 如果 TCP 端口通，但是 ping 不通，说明防火墙没有放行 ICMP 协议。请逐个检查服务器后台的防火墙 /安全组、服务器上运行的面板的防火墙、服务器的 CLI 防火墙，任意一个没有放行就不能通。
3. 检查监听的 IP 地址是 0.0.0.0 还是 127.0.0.1 。如果监听的 IP 是 127.0.0.1 那么只有本机能访问，外网是无法访问的。

顺便回答你别的问题：
频繁修改域名解析会导致解析故障吗？
YES AND NO ！ DNS 故障是有严格定义的，比如 DNS 查询返回 NXDOMAIN 或者 SERVERFAIL ，而 DNS 本身是一个 pull 系统而不是 push 系统，也就是你修改解析并不会主动将更新推送到递归服务器——而是等待递归 DNS 去查询你的解析记录。这不会导致任何的 DNS 故障，只是「解析还没生效」，也就是「有缓存」。多次频繁的修改，让不同的递归 DNS 获得了不同的解析值，导致了解析混乱，最终表现出来「我的网站无法访问了」，其实是缓存没有刷新，而不是 DNS 故障。建议你去了解一下 DNS 的解析过程，权威服务器和递归服务器的区别，并去阅读一下 dig 命令的 man 文档，你的很多问题可以迎刃而解。

为啥在狗云上建的站好像连通性不好？
先问是不是，再问为什么。你描述的故障是「请求找不到主机」，也就是你的 DNS 记录存在问题，DNS 设置错误或者还没有生效。他家的线路确实质量并不高，质量从低到高为 CLD < KC < CMI 。热门主流的香港机房都容易被 DDoS 攻击，一旦被攻击就会存在连通性问题，作为个人用户只能接受。


会被站方停服吗？
会。
虽然人家是 oneman ，但是他家还算良心，技术实力也很强。我也是他家的用户，我不希望你这种滥用方式把人家搞没了。况且他家需要实名，你用实名的服务器干这种事，你觉得合适吗？所以我的回答是「会」。任何行为都要承担风险，如果承担不起那就想办法分散风险。

如果在你电脑上装软件了，肯定能
微信的话，只有手机端是 E2E （其实是服务器和你的设备 E2E ，不是你的设备和对方的设备 E2E ），电脑端似乎不是

@suriv520
1. 并不是这样。许多个人或商用电脑，都会带有国际标准的 TPM 芯片。它们不支持 SM 算法。一般国内销售时禁用，但是用户可以主动打开（会弹出警告「 TPM 可能在您的国家违法」之类的）。商用采购的时候，在 BOM 物料清单上会有一条「已禁用 TPM 」或「已移除 TPM 」以满足合规要求。
2. OpenSSL 作为软件，不在《条例》管辖范围内。《条例》仅针对硬件产品。
3. 操作系统里确实有国产根证书，但是只有一个 CFCA 。这个去根证书列表里看一下就知道了。我国没有法律规定操作系统必须安装国产证书。而且，预置证书与否，决定权在操作系统厂商，比如之前 CNNIC 的证书就被吊销了。而国产根也必须在国际的 CT 机制下行事，接受国际标准的审计，如果作恶也会被移出根证书列表。所以除非动用量子计算机，HTTPS 确实不能被监听，即使是国家级的力量也不行。如果你实在不放心，可以选择手动吊销 CFCA 证书。
4. 我没有听说过 CPU 里有「预装证书」的说法。但是国产的 CPU 基本都会选择支持 SM ，因为这是卖点。

不支持，Wireguard 是三层协议，不是二层协议