网站上 cloudflare 之后的奇怪流量都是哪里来的

可能是国内的网络连通性太差了，以前那些扫描器也扫了只是包都没送到，cloudflare 网络好，包到达率高

cloudflare 会帮你申请 TLS 证书。所有大牌证书发行商都会提供证书透明度 certificate transparency 信息。如果你以前不用 HTTPS ，那现在你的域名就公开了。

我也发现了，总有一堆 IP 在扫奇怪的路径。上了 WAF 自定义规则，但还是漏了一部分。搞不懂怎怎么回事……

都是机器人扫的，别真当。接入 google analysis 的数据比较准。

waf 拒绝一切境外 ip

@ryd994 之前也是 https ，三个月换一次的免费证书不知道有没有上 ctlog
感觉这机制好蠢啊，有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉

@TrackBack 不仅不蠢而且实际抓到过违规操作。CT 有助于网站主及时发现异常的证书签发。letsencrypt 当然也是公开 CT 的。

网龄久一点的人可能听说过 wosign 被踢出根证书列表。事件的起因就是 wosign 违规签发 Google 域名的证书，通过 CT 发现的。

切记，obfuscation is not security 。相反，越是经过公开审计，越是有助于发现问题，发现问题才能修复问题，才会更安全。

“有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉”
以前挂失补办身份证确实是需要登报公告的。二代身份证可以联网验证，可能就不需要再公告了。总比被人神不知鬼不觉地冒用身份证更好。

正常，天天扫 .git/config 的请求比我正常请求都多