看一下 nmap -O 源码逻辑和特征库

fglrx.ko 没有建立软链接吧，看一下 Xorg 的 log

@miyuki 应该是把我这的带宽划出去给其他区了， TPE 故障很多天了，我前天还能 4K y2b ，昨天就只能打开首页。昨天下午上海联通调度中心回我电话说都不知道骨干路由变化，也没听说 TPE 故障。这简直日了狗了

@whx20202
@mcree

感谢回复，纠正一个我的错误，就是这个 timebomb 只对 Symantec 及其关联证书有效（ https://chromium.googlesource.com/chromium/src/+/master/net/data/ssl/symantec ），我又走了一遍代码，那个 ShouldRequireCT()方法就是干这事的，关联证书都在 net/data/ssl/symantec/roots ，包括 GeoTrust ， verisign ， thawte ，影响面还是很广的。

设置这个 timebomb 的意义就是针对 symantec 的证书要 CT 验证时，要以 chrome 自带的为准， 60 天自动默认过期，因为 hardcode 的这些证书无法替换，只能通过 chrome 更新来更新？ 我怎么感觉这样做很傻很天真啊，难道 mozilla 的证书更新不及时？还是说 CT 就由 google 说了算，和系统层 mozilla 证书分开？

现在感觉 linux 上证书体系已经够乱了： legacy 的应用归 ca-certificates-mozilla 这个包管，一般应用归 mozilla-nss 管，现在 chrome 又内置一些策略搞特殊...

所以是时候要让魔都电信再上一次电视搞个大新闻？

我用公共节点都好几年了，明显白天解析慢，晚上很快，网络拥堵的特征。这么小众的东西应该不屑于墙它。

https://www.v2ex.com/t/319391


@xfspace

用过 v1 ， v2 ，原厂都能无线千兆，当时还没有梅林没刷过，不过 wrt 没有 nat 加速， cpu 满载还不如原厂固件的 11n 快。建议 68u

@bclerdx 真的只用他家网盘，他家网盘 wap 版不需要那些 js ，其实搜索也不需要那一堆 js 。

自从去年 baidu 被当作 canon 炮灰攻击了除天朝外的全世界人民 我就永远屏蔽了 baidu 的 js 和除网盘以外所有的域名。

@whx20202 https://imququ.com/post/certificate-transparency.html

@Livid
@9hills
@lgt945
@Binarization
@haigeek
@uroot666
@db520

我看了一下 chromium 代码，发现了不知道算不算是一个大新闻：

翻了一下返回“ ERR_CERTIFICATE_TRANSPARENCY_REQUIRED ”只有两处，两处代码都一样，以 net/sock/ssl_client_socket_impl.cc 为例
......
ct_verify_result_.cert_policy_compliance =
policy_enforcer_->DoesConformToCertPolicy(
server_cert_verify_result_.verified_cert.get(), verified_scts,
net_log_);

if (ct_verify_result_.cert_policy_compliance !=
ct::CertPolicyCompliance::CERT_POLICY_COMPLIES_VIA_SCTS &&
transport_security_state_->ShouldRequireCT(
host_and_port_.host(), server_cert_verify_result_.verified_cert.get(),
server_cert_verify_result_.public_key_hashes)) {
server_cert_verify_result_.cert_status |=
CERT_STATUS_CERTIFICATE_TRANSPARENCY_REQUIRED;
return ERR_CERTIFICATE_TRANSPARENCY_REQUIRED;
}

如果 ct_verify_result_.cert_policy_compliance 不是 CERT_POLICY_COMPLIES_VIA_SCTS ，则 ShouldRequireCT 就会走一个好像 host 的黑白名单的东西，而默认返回 true （ v2ex.com:443 的情况确定不会返回 false ），接下来就返回 ERR_CERTIFICATE_TRANSPARENCY_REQUIRED ，就像 LZ 看到的那样。
所以前面的 DoesConformToCertPolic 返回什么就变的很重要了 ：

ct::CertPolicyCompliance CTPolicyEnforcer::DoesConformToCertPolicy(
X509Certificate* cert,
const ct::SCTList& verified_scts,
const NetLogWithSource& net_log) {
// If the build is not timely, no certificate is considered compliant
// with CT policy. The reasoning is that, for example, a log might
// have been pulled and is no longer considered valid; thus, a client
// needs up-to-date information about logs to consider certificates to
// be compliant with policy.
bool build_timely = IsBuildTimely();
ct::CertPolicyCompliance compliance;
if (!build_timely) {
compliance = ct::CertPolicyCompliance::CERT_POLICY_BUILD_NOT_TIMELY;
} else {
compliance = CheckCertPolicyCompliance(*cert, verified_scts);
}
......


CheckCertPolicyCompliance()就是验证 sct 的代码，很长，先不管了，看看前面那个要命 IsBuildTimely():

bool IsBuildTimely() {
const base::Time build_time = base::GetBuildTime();
// We consider built-in information to be timely for 10 weeks.
return (base::Time::Now() - build_time).InDays() < 70 /* 10 weeks */;
}

我 cao ，如果版本编译于 70 天前就返回 CERT_POLICY_BUILD_NOT_TIMELY ，我改了下，改成 1 天（内），跑了一下，所有带 SCT 的 https 都歇菜了。
chrome53 应该就是 2 月前的吧，超过 70 天了。这很可怕啊，国内有多少 chrome 能方便更新呢。