V2ray-core: TLS增加DNS CAA支援

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

RFC 6844「Relying Applications MUST NOT use CAA records as part of certificate validation.」PC的V2Ray/Trojan不需導入證書，但Android的V2Ray/Trojan必須在OS導入自簽名CA證書，App級別不提供證書儲存。iOS導入自簽名證書也不信任。如果用自簽名證書，我覺得信任「自簽名CA證書」/「自簽名伺服器證書」的X.509 Fingerprint是最好的方案（但V2Ray目前不支持），不需導入證書，畢竟SSH就是用known_hosts紀錄伺服器公鑰的Base64/伺服器公鑰的Fingerprint，我分析過SSH其實還能用來科學上網，只要在sshd_config禁用umac-xxx和umac-xxx-etm即可，GFW攻擊SSH的原理是降級攻擊。




而且Android導入的證書不能停用只能刪除

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

另外個人覺得V2Ray未來可以加入SSH偽裝，用SSH協定來包裝VMess。SSH在使用[email protected]、[email protected]加密的情況下不使用額外的MAC（如[email protected]），而TLS的AES-GCM和ChaCha20-Poly1305用了兩層MAC（還有一層SHA-2）。手機使用Trojan/AnyConnect很耗電，就算Trojan使用ChaCha20-Poly1305算法也如此。SSH內置SOCKS5（ssh -D 1080 user@host）不支援UDP轉發。SSH不需證書/域名只需客戶端信任Public key/Public key fingerprint。Windows 10 PC上使用ssh -D 1080 -o [email protected] user@host翻牆還是挺快的，只要SSH用戶端/伺服器不協商umac-xxx和umac-xxx-etmMAC就不會被GFW阻斷了。

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

另外個人覺得V2Ray未來可以加入SSH偽裝，用SSH協定來包裝VMess。SSH在使用[email protected]、[email protected]加密的情況下不使用額外的MAC（如[email protected]），而TLS的AES-GCM和ChaCha20-Poly1305用了兩層MAC（還有一層SHA-2）。手機使用Trojan/AnyConnect很耗電，就算Trojan使用ChaCha20-Poly1305算法也如此。SSH內置SOCKS5（ssh -D 1080 user@host）不支援UDP轉發。SSH不需證書/域名只需客戶端信任Public key/Public key fingerprint。

上面我所說自簽證書只是用於客戶端和伺服器的認證與通訊，並不需要被系統信任，放入 V2Ray 配置文件中即可

SSH 不支持 UDP 的話可以考慮使用 UDP over TCP 等工具，目前 V2Ray 缺少核心開發者，可能無法實現此功能，歡迎PR。

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

另外個人覺得V2Ray未來可以加入SSH偽裝，用SSH協定來包裝VMess。SSH在使用[email protected]、[email protected]加密的情況下不使用額外的MAC（如[email protected]），而TLS的AES-GCM和ChaCha20-Poly1305用了兩層MAC（還有一層SHA-2）。手機使用Trojan/AnyConnect很耗電，就算Trojan使用ChaCha20-Poly1305算法也如此。SSH內置SOCKS5（ssh -D 1080 user@host）不支援UDP轉發。SSH不需證書/域名只需客戶端信任Public key/Public key fingerprint。

上面我所說自簽證書只是用於客戶端和伺服器的認證與通訊，並不需要被系統信任，放入 V2Ray 配置文件中即可

SSH 不支持 UDP 的話可以考慮使用 UDP over TCP 等其他工具，目前 V2Ray 缺少核心開發者，可能無法實現此功能，歡迎PR。

Android/iPhone手機用Trojan怎麼辦？Android導入自簽名證書後會有煩人的提示，iOS直接不信任導入的自簽名證書。另外多個VPS要用同一個CA簽名那太麻煩了，CA的Private key也要妥善保管。我覺得紀錄和信任X.509 fingerprint是最方便的辦法，類似SSH，只要CN、SAN吻合IP/域名即可。

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

另外個人覺得V2Ray未來可以加入SSH偽裝，用SSH協定來包裝VMess。SSH在使用[email protected]、[email protected]加密的情況下不使用額外的MAC（如[email protected]），而TLS的AES-GCM和ChaCha20-Poly1305用了兩層MAC（還有一層SHA-2）。手機使用Trojan/AnyConnect很耗電，就算Trojan使用ChaCha20-Poly1305算法也如此。SSH內置SOCKS5（ssh -D 1080 user@host）不支援UDP轉發。SSH不需證書/域名只需客戶端信任Public key/Public key fingerprint。

上面我所說自簽證書只是用於客戶端和伺服器的認證與通訊，並不需要被系統信任，放入 V2Ray 配置文件中即可
SSH 不支持 UDP 的話可以考慮使用 UDP over TCP 等其他工具，目前 V2Ray 缺少核心開發者，可能無法實現此功能，歡迎PR。

Android/iPhone手機用Trojan怎麼辦？Android導入自簽名證書後會有煩人的提示，iOS直接不信任導入的自簽名證書。另外多個VPS要用同一個CA簽名那太麻煩了，CA的Private key也要妥善保管。我覺得紀錄和信任X.509 fingerprint是最方便的辦法，類似SSH，只要CN、SAN吻合IP/域名即可。

抱歉，這裏僅限討論與 V2Ray 有關的話題

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

另外個人覺得V2Ray未來可以加入SSH偽裝，用SSH協定來包裝VMess。SSH在使用[email protected]、[email protected]加密的情況下不使用額外的MAC（如[email protected]），而TLS的AES-GCM和ChaCha20-Poly1305用了兩層MAC（還有一層SHA-2）。手機使用Trojan/AnyConnect很耗電，就算Trojan使用ChaCha20-Poly1305算法也如此。SSH內置SOCKS5（ssh -D 1080 user@host）不支援UDP轉發。SSH不需證書/域名只需客戶端信任Public key/Public key fingerprint。

上面我所說自簽證書只是用於客戶端和伺服器的認證與通訊，並不需要被系統信任，放入 V2Ray 配置文件中即可
SSH 不支持 UDP 的話可以考慮使用 UDP over TCP 等其他工具，目前 V2Ray 缺少核心開發者，可能無法實現此功能，歡迎PR。

Android/iPhone手機用Trojan怎麼辦？Android導入自簽名證書後會有煩人的提示，iOS直接不信任導入的自簽名證書。另外多個VPS要用同一個CA簽名那太麻煩了，CA的Private key也要妥善保管。我覺得紀錄和信任X.509 fingerprint是最方便的辦法，類似SSH，只要CN、SAN吻合IP/域名即可。

抱歉，這裏僅限討論與 V2Ray 有關的話題

V2Ray因為配置複雜有段時間不用了，V2Ray用TLS包裝VMess的話也要匯入憑證（導入證書）。中國移動現在用SS和純VMess很不穩定。SSH功能比TLS多，比如Ed25519、AES-CTR加密。在iPhone 8上用AnyConnect/Trojan很耗電，就算只是看純文字網頁（如小說）也很耗電；Android的情況好一些。

CAA 驗證似乎並不能完全解決你所述的問題。
你可能需要的是自簽證書 https://v2ray.com/chapter_02/05_transport.html#certificateobject，
無需將證書導入系統

另外個人覺得V2Ray未來可以加入SSH偽裝，用SSH協定來包裝VMess。SSH在使用[email protected]、[email protected]加密的情況下不使用額外的MAC（如[email protected]），而TLS的AES-GCM和ChaCha20-Poly1305用了兩層MAC（還有一層SHA-2）。手機使用Trojan/AnyConnect很耗電，就算Trojan使用ChaCha20-Poly1305算法也如此。SSH內置SOCKS5（ssh -D 1080 user@host）不支援UDP轉發。SSH不需證書/域名只需客戶端信任Public key/Public key fingerprint。

上面我所說自簽證書只是用於客戶端和伺服器的認證與通訊，並不需要被系統信任，放入 V2Ray 配置文件中即可
SSH 不支持 UDP 的話可以考慮使用 UDP over TCP 等其他工具，目前 V2Ray 缺少核心開發者，可能無法實現此功能，歡迎PR。

Android/iPhone手機用Trojan怎麼辦？Android導入自簽名證書後會有煩人的提示，iOS直接不信任導入的自簽名證書。另外多個VPS要用同一個CA簽名那太麻煩了，CA的Private key也要妥善保管。我覺得紀錄和信任X.509 fingerprint是最方便的辦法，類似SSH，只要CN、SAN吻合IP/域名即可。

抱歉，這裏僅限討論與 V2Ray 有關的話題

V2Ray因為配置複雜有段時間不用了，V2Ray用TLS包裝VMess的話也要匯入憑證（導入證書）。中國移動和中國電信現在用SS和純VMess不穩定，尤其是中國移動。SSH功能比TLS多，比如Ed25519、AES-CTR加密。在iPhone 8上用AnyConnect/Trojan很耗電，就算只是看純文字網頁（如小說）也很耗電；Android的情況好一些。

TLS包裝VMess的話可以通過 https://v2ray.com/chapter_02/05_transport.html#certificateobject 導入自簽名證書，且支持ECC。
VMess加密方式支持AES和chacha20-poly1305，如果已有TLS的話，可以考慮不加密。
VMess可以通過配置達到和Trojan類似的僞裝效果。
可以通過將V2Ray配置在路由器或電腦上並開放端口給手機來省電。
至於SSH，目前無此計劃。

@iochen 手機版V2Ray可以在主功能表（Main menu）加入Manage Certificate、Manage X.509 Fingerprint（Core要支援）選項。中國移動幾乎只能用TLS和SSH。

用OpenSSL可以顯示X.509指紋。

Project V 並沒有官方手機軟件，第三方軟件請至第三方軟件相應倉庫下提請 ISSUE

@iochen 問題找到並解決。
Win10 PC用OpenSSH科學上網還是挺快的。Chrome預設讀取IE代理設定（inetcpl.cpl），用的是SOCKS4協定，要用「chrome --proxy-server="socks5://localhost:1080"」命令啟動Chrome。

CAA是域名DNS的事情，，添加一条记录就行了

兄弟你是不知道ssh默认就能端口转发翻墙,所以22端口基本限速20kb.还伪装成ssh,ssh都要笑醒.
TLS可以自签,然后在v2ray配置里选择允许不安全证书.CAA是忽悠人的.
我昨天找了个丢包千分之1的IP,然后用tls+ws翻墙,今天就丢包30%.一脸茫然不知所措.

兄弟你是不知道ssh默认就能端口转发翻墙,所以22端口基本限速20kb.还伪装成ssh,ssh都要笑醒.
TLS可以自签,然后在v2ray配置里选择允许不安全证书.CAA是忽悠人的.
我昨天找了个丢包千分之1的IP,然后用tls+ws翻墙,今天就丢包30%.一脸茫然不知所措.

我就是用Windows 10+OpenSSH+連接埠22，看YouTube HD沒問題。CAA是針對CA的，但對於CFCA、HKPost而言就不知他們有沒有這麼道德了。用Linux內核5.6（Linux內核5.6大幅加快/dev/random速度）+BBR+Trojan+OpenConnect沒問題啊。用SSH-MySQL和SSH-RSync的用戶其實不少。PuTTY不行是因為PuTTY預設使用aesxxx-ctr+[email protected]，PuTTY不支援[email protected]。自簽名憑證有被MITM被解密的風險。

兄弟你是不知道ssh默认就能端口转发翻墙,所以22端口基本限速20kb.还伪装成ssh,ssh都要笑醒.
TLS可以自签,然后在v2ray配置里选择允许不安全证书.CAA是忽悠人的.
我昨天找了个丢包千分之1的IP,然后用tls+ws翻墙,今天就丢包30%.一脸茫然不知所措.

我就是用Windows 10+OpenSSH+連接埠22，看YouTube HD沒問題。CAA是針對CA的，但對於CFCA、HKPost而言就不知他們有沒有這麼道德了。用Linux內核5.6（Linux內核5.6大幅加快/dev/random速度）+BBR+Trojan+OpenConnect沒問題啊。用SSH-MySQL和SSH-RSync的用戶其實不少。PuTTY不行是因為PuTTY預設使用aesxxx-ctr+[email protected]，PuTTY不支援[email protected]。自簽名憑證有被MITM被解密的風險。

你可能是尊贵的cn2线路吧

兄弟你是不知道ssh默认就能端口转发翻墙,所以22端口基本限速20kb.还伪装成ssh,ssh都要笑醒.
TLS可以自签,然后在v2ray配置里选择允许不安全证书.CAA是忽悠人的.
我昨天找了个丢包千分之1的IP,然后用tls+ws翻墙,今天就丢包30%.一脸茫然不知所措.

我就是用Windows 10+OpenSSH+連接埠22，看YouTube HD沒問題。CAA是針對CA的，但對於CFCA、HKPost而言就不知他們有沒有這麼道德了。用Linux內核5.6（Linux內核5.6大幅加快/dev/random速度）+BBR+Trojan+OpenConnect沒問題啊。用SSH-MySQL和SSH-RSync的用戶其實不少。PuTTY不行是因為PuTTY預設使用aesxxx-ctr+[email protected]，PuTTY不支援[email protected]。自簽名憑證有被MITM被解密的風險。

你可能是尊贵的cn2线路吧

補充，不是CN2。
很多Google到的VPN/V2Ray/SS/TLS文章都沒有講熵（Entropy）的問題，導致V2Ray/VPN/Trojan的緩慢和不穩定。解決方法是，自己寫一個每5秒執行一次的systemd timer，每隔5秒進行磁碟讀寫，增加熵。CN2我也用過，這個問題不解決，CN2也是慢。真實硬件這個問題比較少，虛擬機（KVM/Hyper-V/VMware）會遇到這個問題。
https://wiki.alpinelinux.org/wiki/Entropy_and_randomness
示範：
vim /etc/systemd/system/entropy.timer
[Timer]
Unit=entropy.service
OnCalendar=*-*-* *:*:0
OnCalendar=*-*-* *:*:5
OnCalendar=*-*-* *:*:10
OnCalendar=*-*-* *:*:15
OnCalendar=*-*-* *:*:20
OnCalendar=*-*-* *:*:25
OnCalendar=*-*-* *:*:30
OnCalendar=*-*-* *:*:35
OnCalendar=*-*-* *:*:40
OnCalendar=*-*-* *:*:45
OnCalendar=*-*-* *:*:50
OnCalendar=*-*-* *:*:55
[Install]
WantedBy=multi-user.target
vim /etc/entropy.sh
dd if=/dev/zero of=/entropy bs=1MB count=8
date >> /entropy
hwclock >> /entropy
cat /entropy > /dev/null
rm /entropy
sync
vim /etc/systemd/system/entropy.service
[Service]
ExecStart=/bin/bash /etc/entropy.sh
systemctl enable entropy.timer
Linux內核5.4 只用rngd（rng-tools5）似乎對於用V2Ray/Trojan看影片也不行，還是要生成定時的磁碟讀寫以生成熵。
https://en.wikipedia.org/wiki//dev/random

兄弟你是不知道ssh默认就能端口转发翻墙,所以22端口基本限速20kb.还伪装成ssh,ssh都要笑醒.
TLS可以自签,然后在v2ray配置里选择允许不安全证书.CAA是忽悠人的.
我昨天找了个丢包千分之1的IP,然后用tls+ws翻墙,今天就丢包30%.一脸茫然不知所措.

我就是用Windows 10+OpenSSH+連接埠22，看YouTube HD沒問題。CAA是針對CA的，但對於CFCA、HKPost而言就不知他們有沒有這麼道德了。用Linux內核5.6（Linux內核5.6大幅加快/dev/random速度）+BBR+Trojan+OpenConnect沒問題啊。用SSH-MySQL和SSH-RSync的用戶其實不少。PuTTY不行是因為PuTTY預設使用aesxxx-ctr+[email protected]，PuTTY不支援[email protected]。自簽名憑證有被MITM被解密的風險。

你可能是尊贵的cn2线路吧

補充，不是CN2。
很多Google到的VPN/V2Ray/SS/TLS文章都沒有講熵（Entropy）的問題，導致V2Ray/VPN/Trojan的緩慢和不穩定。解決方法是，自己寫一個每5秒執行一次的systemd timer，每隔5秒進行磁碟讀寫，增加熵。CN2我也用過，這個問題不解決，CN2也是慢。真實硬件這個問題比較少，虛擬機（KVM/Hyper-V/VMware）會遇到這個問題。
https://wiki.alpinelinux.org/wiki/Entropy_and_randomness
示範：
vim /etc/systemd/system/entropy.timer
[Timer]
Unit=entropy.service
OnCalendar=*-*-* *:*:0
OnCalendar=*-*-* *:*:5
OnCalendar=*-*-* *:*:10
OnCalendar=*-*-* *:*:15
OnCalendar=*-*-* *:*:20
OnCalendar=*-*-* *:*:25
OnCalendar=*-*-* *:*:30
OnCalendar=*-*-* *:*:35
OnCalendar=*-*-* *:*:40
OnCalendar=*-*-* *:*:45
OnCalendar=*-*-* *:*:50
OnCalendar=*-*-* *:*:55
[Install]
WantedBy=multi-user.target
vim /etc/entropy.sh
dd if=/dev/zero of=/entropy bs=1MB count=8
date >> /entropy
hwclock >> /entropy
cat /entropy > /dev/null
rm /entropy
sync
vim /etc/systemd/system/entropy.service
[Service]
ExecStart=/bin/bash /etc/entropy.sh
systemctl enable entropy.timer
Linux內核5.4 只用rngd（rng-tools5）似乎對於用V2Ray/Trojan看影片也不行，還是要生成定時的磁碟讀寫以生成熵。
https://en.wikipedia.org/wiki//dev/random

怎麼看你都像不懂裝懂的小白，一瓶不滿半瓶晃蕩，了解點皮毛就開始炫耀，你覺得你知道的知識別人(大家)想不到嗎？笑死我了。

This issue is stale because it has been open 120 days with no activity. Remove stale label or comment or this will be closed in 5 days