这对比也没性价比啊，不是 appletv+surge?

如果你把各方面可能的参数和漏洞都考虑了一遍，你最终会发现你要把 https 重新实现了一遍。

密码学经典之不要自己设计加密算法

tailscale 可以选择流量出口

issues 跟 git 可视化就打不着关系。

现在都是电子支付，账单都可以自己查，也能统计，其实我也不习惯记账，自己花了多少钱心里有数。

windows 的最简单好用，AD 域方案非常成熟。

@devliu1
#25 《 ca 可以签发证书，拿到证书就可以中间人了。》 《我可没说 CA `一定` 可以完成中间人》《非常有利的条件》
前后矛盾的也不知道你想表达啥，你跟别人说拿到普通电工证就可以搞高压电了，结果搞不了你跟别人说这是非常有利的条件，嗯，确实。

#38 《用 CDN 满足所有中间人条件（域名解析到 CDN + CDN 签发证书）》《 CDN 场景确实不需要 CA 》
解释过了，证书就不是 CDN 签发的。CDN 中间人跟 CA 也没关系。

@ON9
“但是如果劫持了 dns ，而且伪造了证书，那客户端是完全不知道的。”
客户端方面，主流浏览器都有检查证书透明度日志，谁发布了什么证书什么日期阻止全都是公开日志不可篡改的，检查不通过可能会阻止访问或者警告，伪造证书几乎马上就会露陷。如果你订阅了证书透明度报告（ cf 就有这个功能）就知道每当你的域名有新证书下发就能收到邮件通知。至于 APP 端甚至还可以有 Cert Pinning 验证，不是自己部署的证书即使你 CA 签发了也认不了。
这也就是 https 普及之后，运营商在网页上插广告的做法几乎消失的原因。论 DNS 劫持，GFW 最常见了，但 GFW 也只能暴力阻断，伪造证书不可行也是 GFW 无法解码 https 内容的原因。

@devliu1 你才是稻草人论证吧，首先证书不是 CF 签发的，他并不是 CA ，是你把域名放在 CF 使用 http challenge 或者 dns challenge 代申请的，CA 是 lets 等等这种；其次他可以监听流量和他是不是 CA 无关，是因为 CDN 回源就是一个代理，不管你服务器用谁的证书哪个 CA ，用户端都是到 CF 再到你的服务端（如果有缓存甚至不经过你的服务端）；最后，CA 确实不参与密钥交换，即使 CF 是 CA ，CDN 的角色就是服务端并不是 CA 的角色，你这个在逻辑上是关联谬误和因果谬误。

@A01514035 我看了，用的是这个镜像 https://github.com/qemus/qemu-docker 。
qmenu 自带的-vnc 参数，然后集成 novnc ，就这么简单。