用户工具

站点工具


start

Hshh's Cosmos

Linux 时钟来源导致的网络速度不正常

有一台 linux vm 在下载时, 速度会经常出现不正常的低速 (源服务器是 freebsd, 开启 bbr, 并设置了net.inet.tcp.bbr.measure.use_google=0).

一直找不到原因, 突然想起来这个 vm 的时间总是慢很多, 看到它自动选的是 TSC, 修改为 HPET 后, 问题解决.

另外, 理论上 TSC 应该更好, 但是在某些环境下, TSC 通过读取 CPU 时钟不准, 不如读取主板的 HPET 准确.

2024/12/09 02:00

从SSL证书看网站域名泄露的问题

自从有了Let's Encrypt, SSL证书随便申请. 自从有了crt.sh, 刚申请的证书立马公开显示出来. 所以网站域名就从证书上泄露了.

一个想法: 通过 DNS-01 申请泛域名证书, 然后部署使用, 这样就不会出现基于特定域名的证书, 从而不泄露网站域名.

2024/12/07 04:39

linux 的 systemd-resolved 对于解析本机主机名的处理变动

从某个版本开始, systemd 的变量值 SYSTEMD_RESOLVED_SYNTHESIZE_HOSTNAME 默认值从 0 改为了 1. 这就导致了在查询和本机主机名一样的域名时, 会使用本机所有 IP 合成结果, 而不去使用 DNS 服务器的结果.

网上的资料非常少, 仅有一个条目描述了.

我的解决方案是

systemctl revert systemd-resolved.service
cat << 'EOF' | systemctl edit --stdin systemd-resolved.service
[Service]
Environment="SYSTEMD_RESOLVED_SYNTHESIZE_HOSTNAME=0"
EOF
systemctl restart systemd-resolved.service
2024/11/11 16:36

dig 在做 DoH/DoT 查询时不会带 SNI 头

目前 9.20.2 还是没有, 看起来是定为 Not planned.

2024/11/08 15:52

踩了个 MySQL 复制的雷

replicate-do-db 和 replicate-ignore-db 是不安全的, 要用 replicate-wild-do-table 和 replicate-wild-ignore-table. 对于数据库的过滤, 用 % 定义表名称.

2024/10/22 16:42

ISRG Root X2 还是很难爱

老 android (<14) 没有root, 即使在系统设置的证书加上 ISRG Root X1 和 ISRG Root X2 的各个证书, 不管是自签名根证书还是交叉签署的根证书, 都无法让非浏览器的 APP 正确识别 ISRG Root X2 链签发的证书.

最后还是为了兼容性回到了 ISRG Root X1 证书链.

2024/10/13 17:16

关于 MS Office 自动更新的 30088-27 报错

安装了6月更新后的 MS Office 的代理功能从 WinInet 切换到了 WinHTTP. 如果在隐私设置中, 禁用了 “开启所有连接体验” 这个选项, 就会导致使用自动更新时报 30088-27 的错误.

重新启用 “开启所有连接体验”, 杀掉 OfficeClickToRun.exe 进程或注销或重启, 自动更新应该就好了.

另外想手动更新某个版本可以用以下命令:

"C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe" /update user updatetoversion=版本号

版本号范例如 16.0.17932.20058

如果要降级, 需要使用管理员权限运行, 升级则不需要.

2024/08/23 14:28

zstd 完全可以替代掉 gzip, bzip2, xz

要速度有速度, 要压缩比有压缩比, 完全吊打 gzip, bzip2, xz.

另外, 测试下来, tar 直接通过 –zstd 调用来压缩, 速度远不如输出 pipe 到 zstd 压缩再写盘. 其实在很多情况都有用 pipe 的性能好点, 其实是多 cpu 的情况, pipe 后就是多 cpu, 对比原来的单 cpu. 另外就是在 zstd 命令行下控制参数简单点, tar 整合就要通过 options 传进去(FreeBSD tar)

2024/08/16 16:34

关于 Let's Encrypt ECDSA 证书链在 Windows 下的事情

由于 Let's Encrypt 的 ECDSA 中间证书链是交叉签名, 在 Windows(至少是win10) 里默认使用 ISRG Root X1 签署, 其 CA 是 RSA 4096 证书, 非 ECDSA.

如果想看到完整的 ECDSA 证书链, 把 ISRG Root X2 签署的 E5, E6 证书导入中间证书容器.

2024/08/14 02:08

Let’s Encrypt 的 ECDSA 证书链

根据官方文档, Let’s Encrypt 对于 ECDSA 的证书签发, 其默认用兼容性较好的 RSA 的 ISRG Root X1 进行签发.

要切换到降低每次 TLS 握手过程所占据的带宽的 ISRG Root X2 证书链, 则需要指定 PREFERRED_CHAIN (dehydrated) 为 “ISRG Root X2”.

重新设置后重新申请证书.

还碰到 Windows 的证书问题: 根证书和中间证书, 和实际的证书链不符. 解决方法就是, 打开用户证书管理, 把里面的删除一遍, 注销重新登陆.

2024/08/13 03:28

其他变动

start.txt · 最后更改: 2024/06/22 02:21 由 Hshh