Akira45

脚本参数更改为acme.sh --renew --dns --server letsencrypt -k 2048 -d your.domain.com，即可正常签发非ECC证书 。 for details/refers:#2350

2024.6.3 更新： 也遇到了相同的问题，网站随机出现err_ssl_bad_record_mac_alert，哪怕在PC端Chrome也是相同现象。 nginx端口使用proxy_half_close on;配置依旧无法解决问题，在使用此跳转去除proxy_protocol后问题消失，同时xray内也无需开启acceptProxyProtocol. 在此更新一下我个人的解决方案，希望对后来者有所帮助。 PS:另外不知道这个是不是bug，不过总之这样可以解决，缺点是xray因为没有代理协议从而无法得到客户端ip，不过这个对有nginx前置的情况下并不是很重要。

> @AAkira45 this happens for me too. > > It does not matter whether I use NGINX or HAPROXY. As soon as the proxy protocol is enabled, random requests will...

> > @AAkira45 this happens for me too. > > It does not matter whether I use NGINX or HAPROXY. As soon as the proxy protocol is enabled, random requests...

> 你们测试时是否在网络环境比较好的时候进行？ 你们开启sni后，应该会跑一些网页，这些网页的数据库需要占用内存，是否有检查主机内存留有足够内存？ 我也整了一个sni，分别为xray和网页设置了证书。一开始因为不会设置，没有开启nginx到xray这段过程的proxy_protocol，最近学会了设置，但发现链接中断的概率提高了。主要表现就是： > > safari：“Safari can't open the page because it couldn't establish a secure connection to the server.” > > firefox focus：“An SSL error has occurred and...

虽然自签特征明显，但是特征也不具有唯一性，毕竟现存的很多web管理面板基本上在不设置有效证书的情况下就是使用的自签，以至于443占用……实际使用的时候很多用户会分不同端口，当然想共用端口，现在也有stream分流可以和reality共存。 但总而言之，需要解决的问题是“ 不要搞明文 HTTP 以避免被记录”，那么无论是SSH转发和自签SSL都可以解决这个问题，那么就是好方法，以至于具体选择哪个，还是给面板开发者自行选择比较好，毕竟无论哪个方法都已经解决了现有需求

中间人问题，没记错的话可以通过指定和在本地信任特定证书解决。以至于reality 443端口问题，现在既然没有证据证明使用443会比使用其他端口更加安全，那么分端口就是可以接受的。 但无论是是否安装其他面板，对SSL下的中间人攻击的考虑，面板使用ssl导致的reality端口冲突问题，都已经超出“ 不要搞明文 HTTP 以避免被记录”这个问题本身的范畴，就我个人意见上来讲，强制启用HTTPS或者SSH转发应该是针对这个问题本身最好的解决方案。

> 强制监听127.0.0.1，仅允许在https连接面板的情况下更改监听地址，在SSH上打印证书指纹，然后登录时强制校验（？ 一点拙见 我**个人**（仅代表个人）认为比较推荐的配置： 1.**默认** 初次安装监听127，用户通过ssh编辑配置文件/选择更改监听IP。 2.**强制** 启用HTTPS，移除HTTP访问，初次安装使用自生成证书，界面提示用户尽快更换有效证书。 3.增加SSH转发配置途径。