@FreeDog 我也见到 或许这篇文章老了还是说只有检测用 apple.com ？

@FreeDog
嗯，但实际不是。（ http://blog.csdn.net/winterth/article/details/8485072 ）
果子在用 http://www.apple.com/library/test/success.html ，内容一样。
1 、发送一个 HTTP/1.0 的请求到 http://www.apple.com/library/test/success.html
2 、接收一个回应，如果回应跟它预计的结果一致，那么认为网络是通的，就不会自动弹出页面。同时，状态栏的 WIFI 图标出现。流程结束。否则，进入下一步。
3 、如果收到的回应不是它想要的那个，它就认为有 CWP 存在。
4 、如果有 CWP 存在， iOS 就会自动打开一个页面，在这个页面中再请求一次 http://www.apple.com/library/test/success.html ，这一次，使用的是 HTTP/1.1 。
5 、然后就可以打开 Login 页面了。

upyun

我觉得功能专一，挺好用的。。
指 win 下

@rrfeng

我想看看 SHA-1 ，结果被沃通拉黑了。

@GordianZ 理论上是可以的，但这种事。。

@Showfom 他们认为这不是一个错误。。:v
This is not a issue.
You finished the domain validation that we can issue the cert.

@jimages 我上下截图。。
http://233.dog/f_10966796.png

@BXIA 我觉得响应应该不是大头吧，处理速度才是大头。
对于 App 来说，返回最多的应该是 json 。
我觉得那点数量不吃带宽啊~

@BXIA 兼容老式 CPU 。
可以考虑自动判断，不支持 AES 指令集就用 CHACHA20 的子域名

app 支持就用 chacha20

@xuan880 对了，跟你说一下，另一张沃通的证书被吊销了，也是漏洞。
他们的系统中有个 bug ，倒填年限还是什么东西可以无需付款，我随机生成了 100 个域名，然后获得了 100 万。。
然后签发了这张证书作为测试，人工审核也形同虚设。。
后面我反馈后修复了，但后面又曝出倒填日期可以签发 SHA-1 ，我都不知道说什么好了。。
证书如下，在 ocsp 中已被吊销：
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

@xuan880 不是，是因为和沃通合作的某厂没有做校验，然后沃通自己又没做校验，再加上人工审核形同虚设，三重都被绕过了。

@Showfom 我翻译后去发帖了，=w=，不知道翻译会不会太捉急。
https://groups.google.com/forum/#!forum/mozilla.dev.security.policy
我发到这里了，没玩过 Google Group 。

@hst001 使用外面签发的证书也不会被劫持， http 也不会被外面劫持（内网有可能）
有这可能性还不如直接拿下 web 服务器，也不用什么证书了改 PHP 就好了。

@Showfom 翻墙太麻烦，英文捉急，不去了 _(:3 」∠)_

中国奠信
楼上+1