现在都是电子支付，账单都可以自己查，也能统计，其实我也不习惯记账，自己花了多少钱心里有数。

windows 的最简单好用，AD 域方案非常成熟。

@devliu1
#25 《 ca 可以签发证书，拿到证书就可以中间人了。》 《我可没说 CA `一定` 可以完成中间人》《非常有利的条件》
前后矛盾的也不知道你想表达啥，你跟别人说拿到普通电工证就可以搞高压电了，结果搞不了你跟别人说这是非常有利的条件，嗯，确实。

#38 《用 CDN 满足所有中间人条件（域名解析到 CDN + CDN 签发证书）》《 CDN 场景确实不需要 CA 》
解释过了，证书就不是 CDN 签发的。CDN 中间人跟 CA 也没关系。

@ON9
“但是如果劫持了 dns ，而且伪造了证书，那客户端是完全不知道的。”
客户端方面，主流浏览器都有检查证书透明度日志，谁发布了什么证书什么日期阻止全都是公开日志不可篡改的，检查不通过可能会阻止访问或者警告，伪造证书几乎马上就会露陷。如果你订阅了证书透明度报告（ cf 就有这个功能）就知道每当你的域名有新证书下发就能收到邮件通知。至于 APP 端甚至还可以有 Cert Pinning 验证，不是自己部署的证书即使你 CA 签发了也认不了。
这也就是 https 普及之后，运营商在网页上插广告的做法几乎消失的原因。论 DNS 劫持，GFW 最常见了，但 GFW 也只能暴力阻断，伪造证书不可行也是 GFW 无法解码 https 内容的原因。

@devliu1 你才是稻草人论证吧，首先证书不是 CF 签发的，他并不是 CA ，是你把域名放在 CF 使用 http challenge 或者 dns challenge 代申请的，CA 是 lets 等等这种；其次他可以监听流量和他是不是 CA 无关，是因为 CDN 回源就是一个代理，不管你服务器用谁的证书哪个 CA ，用户端都是到 CF 再到你的服务端（如果有缓存甚至不经过你的服务端）；最后，CA 确实不参与密钥交换，即使 CF 是 CA ，CDN 的角色就是服务端并不是 CA 的角色，你这个在逻辑上是关联谬误和因果谬误。

@A01514035 我看了，用的是这个镜像 https://github.com/qemus/qemu-docker 。
qmenu 自带的-vnc 参数，然后集成 novnc ，就这么简单。

@A01514035 这写了/dev/kvm ，就是个 kvm 虚拟机。网页访问无非就是 windows 里面装个 vnc 服务器。

方案 2 就是如果你现在电脑还能远程连上的话，自己装好一个系统打包为 wim ，然后使用 dism++直接导出驱动，导入 wim 进行覆盖当前系统即可。基于微软的卷影复制技术，你不需要进入 PE 也可以在当前系统直接重装。

现在的 win10 你直接装完把硬盘换上去是可以直接跑的，你提前注入一些常用网卡驱动就好了。
先往里面装 frp 或者 zerotier 等穿透软件，然后装个 vncserver ，电脑连上网就可以控制了。

@devliu1 你应该把 CDN 当成你自己的云服务的一部分，因为你是自己解析到 CDN 上授权签发的证书，证书证明的就是内容来自你信任的 CDN 服务，你讨论中间人你应该是从客户端到 CDN 服务端这一段。就像你买了阿里云的服务器，你不能说阿里云是你的中间人吧？

@devliu1 你流量对 CDN 不透明 CDN 怎么缓存你的内容？ CDN 的原理就是中间人。

@rubyzhu 你对中间人一知半解的话，28 楼已经解释的很清楚了。32 楼也解释了，拿到证书不等于可以中间人。

@1194129822 什么叫做我想的太简单，我为什么要保证端的安全性？我从来没说 https 能保证端的安全性，我反驳的是 CA 可以随便监听流量。

@rekulas 你用 CF 的服务本来就是中间人，不是中间人怎么做 CDN ？这话就像你用阿里云的服务阿里云是中间人一样。

@devliu1 首先，CA 签发证书有证书透明度，主流浏览器都会检查证书透明度日志，证书不是随意签发的，赛门铁克就是签了个测试证书就被大伙吊销了。
其次，拿到证书不等于你可以中间人，你还需要劫持权威服务器的 DNS ，重定向到你自己建立的服务器，或者劫持 ISP 的流量，这个难度也不亚于你劫持 BGP 。
最后，你拿到证书也无法监听正常通讯中的 https ，CA 解决的身份证明问题，给你签一个浏览器不会报错的证书，并不参与加密，https 加密是服务器和用户端到端的。