流量充足 基本不连公共 Wi-Fi

@yinmin #2 按需连接是这个意思吗？我一直以为是按需自动打开 vpn

@sikong31 #42 vpn server （ IKEv2 ）会告诉 ios 哪些网段走 vpn ，如果开启“按需连接”，访问 vpn 网段会自动连接 vpn 。当 vpn server 接管所有流量（ 0.0.0.0/0 ）时，开启“按需连接”可防止 wifi 窃听数据。

接#43 ，使用 ios 内置的 vpn 协议时，切换手机 4G5G 网络/wifi ，vpn 会断开。必须先连 wifi 再开启 vpn ，中间有一个时间差。公共 wifi 信号波动，手机可能会短暂切到 4G/5G 再切回 wifi ，vpn 就断了。

开启“按需连接”就是为了避免 vpn 异常断开被 wifi 窃听。

谁能告诉我一下，这个 “一什么一个不吱声” 到底什么鬼意思，是暗自开心到不吱声，还是吃暗亏到不敢吭声？

@laoyur 从上下文判断，可以能要表达“这个东西不好但用的人吃了亏不敢说出来”的意思。非常反感这种说法，看着就让人恶心。如果能点踩的话，看到这种句式的回答我都会点个踩的。对于这样说话的人，我一律将其认定为轻度智力障碍。

@SmartNeo 可以能---->可能

你系统没有安装三方 ca ，正常应用访问 https 直接会报错，比如我司的深信服。确实在意安全，公共 WIFI 开个 vpn 就没事了。

@liuidetmks 不用打码。你把整个证书链导出来，举报给 Mozilla 和 Google 能让这家 CA 直接倒闭。

- CNNIC 违规签发 Google 的证书，声称是内部测试使用
- WoSign 违规签发 GitHub 的证书，原因是验证系统疏忽，验证子域名可以签发根域名的证书

这两家 CA 都是一经查实，立刻被剔除浏览器信任列表。有什么原因你可以慢慢找借口，反正证书先踢掉。你拿得出这个证书，那就是铁证。


@julyclyde #16 这个证书链显然有毛病。因为正规 CA 不可能为第三方签发带 CA 功能的证书。如果哪家 CA 看到 CSR 带 CA 功能还签字，那也是大 bug 。

如果能签得出来，那 cloudflare zero trust 也就不需要在使用 TLS 解密功能时安装 CA 了。cloudflare 这么大的公司都解决不了的问题，你觉得这些免费 wifi 系统的提供商能做到吗？

勿以善小而不为，整治网络环境人人有责
连接公共 WiFi 后访问 HTTPS 网站，
打开证书详情并导出完整证书链，记录颁发机构、指纹与有效期；
用 openssl 获取握手信息并保存；查询证书是否存在于 CT 日志；
整理证书文件与复现步骤，提交至 Mozilla 或 Google 的 CA 违规报告渠道。

你不如直接把证书贴出来，我们一起去举报，让不规范的 CA 倒闭

我觉得不太可信，如果是可信的证书链为啥有证书错误，除非把证书贴出来。 @liuidetmks 都在等你的贴证书呢，不要装看不到啊

这个帖子只能暴露了卤煮懂了点却懂不多

@liuidetmks `通过合法 CA 进行任意域名的签署，这种 MITM 不会被系统拒绝`

op 这么牛？我了个豆！！！

竟然有 CA 有漏洞可以被利用，而且还是对任意域名签署！！！！而且还是显存

op 不知道啥时候 公布详情，

这怕是要导致 IT 股全线跌暴了，

想当谜语人，结果没成功，还暴露了自己半吊子的水平。“通过合法 CA 进行任意域名的签署” 我就想问谁敢？

为什么不举报这些违规证书

@liuidetmks 胡扯呢吧？这么搞所有的合法 CA 都成中间人了那 HTTPS 跟明文有什么区别了？不要胡扯啊

太扯淡了 估计楼主对 tls 一知半解