V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
bzkmsjy
V2EX  ›  OpenWrt

启动 OpenClash 后一些网站和 APP 跳证书不受信任是什么原因?

  •  
  •   bzkmsjy · 14 天前 · 977 次点击

    麻烦大佬们帮帮忙,困扰了我好久的问题,设备是 N1 旁路由,只要开启了 OpenClash ,手机上一些网站就会跳出证书不受信任的提示(电脑没碰到过),下面这个就是用 Via 浏览器打开 423down 的提示: 与 cdn.staticfile.org 的连接不安全:

    • 证书不受信任

    是否继续?

    颁发对象 公用名 (CN) iStoreOS 组织 (O) OpenWrt531f84ed 组织单位 (OU)

    颁发者 公用名 (CN) iStoreOS 组织 (O) OpenWrt531f84ed

    有效期 颁发日期 2024 年 4 月 28 日 11:46 截止日期 2026 年 4 月 28 日 11:46

    SHA-256 指纹 证书 0211C5FC648DDDD8F3C1173C65F13CE0C800D64D426EBF46445EB654607EF25B 公钥 F1BCBEEA7267895A4233FEAE6D9C535A0CE956C49126741422CF4CD95136406F

    奇怪的点还有,用手机版 Chrome 打开同样的网站却不会弹出提示,然后软路由关闭 Clash ,Via 浏览器也不会弹了。

    还有一个频繁弹窗的是京东 APP ,提示如下: 当前网站证书不可信且证书链长度为 1 ,可能是服务器没有配置完整证书链,是否信任并继续访问?

    证书内容和上面那个一样,是 iStoreOS 的。

    OpenClash 从最后一个非 META 的 014 到最新的 064 版都碰到这个问题。

    第 1 条附言  ·  14 天前
    此问题和 adguardhome 强相关,禁止 openclash 走 adguardhome 后问题消失。
    adg 配置方法众说纷纭,我最初的设置是方法 1:adg 重定向为 dnsmasq 的上级服务器,clash 关闭 dnsmasq 转发,添加 adg 为上游 DNS ( DNS 协议选 HTTPS ),可以过滤广告,可以科学上网,很长时间没弹过证书。
    OpenClash 更新强制 META 内核后,以上方法不可行(仍然可以过滤广告,不会弹证书不信任,但是无法科学上网)
    后来配置方法 2:改成了 adg 重定向为“无”,clash 不关闭 dnsmasq ,添加 adg 为上游 DNS ( DNS 协议选择 UDP ),可以过滤广告,可以科学上网,但是会跳证书。
    方法 2 的 clash 上游 DNS 协议选择也是个注意点,如果选择 UDP 以外的协议比如 HTTPS ,可以正常科学上网,不会弹证书不信任,但是广告过滤完全失效,adg 仪表盘没有请求。
    必须 UDP 才能过滤广告,但是过滤生效就会弹证书不信任。

    期待有一天能得到答案,Clash META 内核搭配 adg 的教程还找到。
    第 2 条附言  ·  13 天前
    周末回老家看了下 R2S ,完全一样的设置,没有这个问题,在想是不是 N1 的 iStoreOS 固件有问题?这个测试版固件停更大半年了,唯一的变量就是宽带运营商和 iStoreOS 版本了
    7 条回复    2025-01-16 13:40:21 +08:00
    ik
        1
    ik  
       14 天前 via iPhone
    没用过,盲猜开了去广告
    bzkmsjy
        2
    bzkmsjy  
    OP
       14 天前
    @ik 感谢,我之前禁用过 AdguardHome 的过滤功能,无效,看了你的回复尝试完全关闭 OpenClash 自定义 DNS ,完全不走 adguard ,问题消失了,还是挺可惜这个插件的,因为看仪表盘我有四分之一的请求都是被它过滤的。
    ik
        3
    ik  
       14 天前 via iPhone
    @bzkmsjy 啊, 不应该啊,adguardhome 不就是把广告 dns 不解析吗? 不应该报证书问题。

    我说的是路由器上有些过滤广告的功能是带 mimt 功能的,这种不装中间证书就会提示证书错误,具体叫啥名忘了,因为我也没用过😅
    lin41411
        4
    lin41411  
       13 天前 via iPhone
    @bzkmsjy 我也是 openclash+adg ,但是我的 adg 只做 dns 缓存不做任何广告过滤。你看到 adg 过滤了很多请求,但实际反应到你日常体验的帮助其实是很低。大量的过滤规则容易引起各种莫名其妙的问题。权衡之下还是不开过滤为上。
    bzkmsjy
        5
    bzkmsjy  
    OP
       13 天前
    @lin41411 但我的问题是关闭过滤只做缓存也会跳证书不信任,彻底不用 adg 才正常,广告过滤效果确实没以前好了,贴吧知乎信息流广告都去不掉
    zimonianhua
        6
    zimonianhua  
       2 天前 via Android
    我也碰到这种情况,京东 APP 打开页面提示,证书当前网站证书不可信且证书链长度为 1 ,证书颁发机构是 OpenWRT 。
    bzkmsjy
        7
    bzkmsjy  
    OP
       1 天前
    @zimonianhua 你用了 adguardhome 吗?彻底不用它试试
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1015 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 71ms · UTC 19:40 · PVG 03:40 · LAX 11:40 · JFK 14:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.