又有新玩意可以玩了

尝试部署中...

@imlonghao 这玩意好像部署麻烦多了, 另外现在用的.ga 域名不支持 DNSSEC, 倒是 n 久前的.eu.org 这个二级域名支持 DNSSEC 并且很早就用上了. 找个时间折腾下

@imlonghao 好吧 刚才看了下, 有人写了一个 TLSA 记录生成工具, 方便多了

@VmuTargh imlonghao.com 你试一试？

@imlonghao 速度好快, 我这边还在等待换的 NS 记录生效......Orz

@VmuTargh TLSA 记录似乎国内很少有支持的...

@imlonghao 几乎没有, 国外也就几个零星几个 provider 支持. 之前用的 cloudflare, 准备把自己的 vmutargh.eu.org 的 NS 换成 dns4pro, rage4 丫的还要手机号

@imlonghao 可否问一下你用的哪个? :)

@imlonghao

@imlonghao 我的好了, etula.me, 换域名了, 正在等待漫长的 HSTS Preload List 进 stable 过程......
域名早上在 Dynadot 买的, DNS 用的 1984

@VmuTargh 我感觉这个东西的可玩性不高， DANE 基本上能用 HPKP 替代，而且浏览器原生支持不高，请求一次网站还要多请求几个 DNS 请求

@imlonghao 不是没有原生支持么, 还要安装捷克人的插件...... 另外 DNSSEC 在国内只有 DNSPod 的公共 DNS 支持, HPKP 在 HSTS Preload List 加持下除了中间人基本上无法被篡改, DANE 我个人觉得还是一种补充的作用. 可能现在连谷歌 twitter 这些都没敢用 DANE 的原因就是多了几个 Request, 加载时间拉长了不太好.

算了, 反正我强迫症, 能上就上 :)

要保护证书，可以玩的有好多。这里有一个对比：
https://www.certificate-transparency.org/comparison
当然，这个对比是 CT 官网上的，所以肯定是说 CT 好。

目前我就启用了 CT 和 HPKP 。

https://moegic.com/ 我这个好像支持了 DNSSEC 然而拓展告诉我没能行 0.0

@qgy18 我的策略是可以用的就给丫用上，选择性强迫症……

@songjiaxin2008 需要你电脑用的 public dns 支持 DNSSEC

@songjiaxin2008 另外 https://ssl-tools.net
这个网站可以测试