如果安装了未知来源的根证书，xray能否保护https流量不被解密呢？ #4392

VerifyPeerCertificate 回调发生在证书验证或 allowInsecure 之后，我把你的错误理解折叠了

我看了下代码，pinnedPeerCertificatePublicKeySha256 似乎可以用于固定证书链中的任何一个证书，包括根证书，你试一下

~~看来注释又要更新了~~

是的，亲测了可以pin根证书
https://github.com/XTLS/Xray-core/releases/tag/v1.8.0
1.8.0的更新日志也有写"可以 pin 证书链中任何一级证书 hash"
这个功能居然就被遗忘了，文档里也没有…………

RPRX Feb 25, 2025
Maintainer

v1.8.0+ 的很多更新日志都不是我写的，~~我没写，就像最近一样~~，是 @yuhan6665 后来补的

@Fangliding 文档还是给它加上吧

intmain0 Feb 25, 2025

reality和xhttp的光芒把这个小功能掩盖了😂所以正确使用pinnedPeerCertificatePublicKeySha256是可以防止恶意根证书攻击的

Benjamin1919 · 2025-02-25T12:08:03Z

Benjamin1919
Feb 25, 2025

一种方式是用Reality，另一种方式是使用自签证书。
客户端运行 xray tls cert 可以生成一对 certificate 与 key，然后配置 TLS:

{
  "tlsSettings": {
    "serverName": "你的域名",
    "serverNameToVerify":"你的域名",
    "allowInsecure": true,
    "certificates": [
      {
        "usage": "verify",
        "certificate": [生成的 certificate 内容],
        "key": [生成的 key 内容]
      }
    ],
    "disableSystemRoot": true,
    "fingerprint": "chrome"
  }
}

这样就不会使用系统根证书，只用 xray 生成的自签证书验证 TLS，不怕被中间人解密

5 replies

intmain0 Feb 25, 2025

自签比较麻烦还不是很安全，感觉用pinnedPeerCertificatePublicKeySha256 pin根证书更好一些

lhbdhr Feb 25, 2025
Author

自签比较麻烦还不是很安全，感觉用pinnedPeerCertificatePublicKeySha256 pin根证书更好一些

自签要是能pin证书比普通的证书更好用吧？安全+方便，一举两得。
不用在客户机系统里信任自签的根证书，
而且因为证书被pin了，系统根证书被国产软件乱搞+运营商mimt都没法搞你，
而且自签证书可以签很久。

intmain0 Feb 25, 2025

设备比较多的话，不好分享。看个人需求吧

lhbdhr Feb 25, 2025
Author

设备比较多的话，不好分享。看个人需求吧

大哭，我刚看了文档，pinnedPeerCertificatePublicKeySha256 ，这个功能不能和自签证书一起用，需要是一个CA签发的证书才行。
那就需要每3个月生成一次这个hash了，但是可以保证不会发生我一楼的那种情况。属于是额外的验证TLS是否合法。

RPRX Feb 25, 2025
Maintainer

你要每三个月生成一次 hash 的话和 pinnedPeerCertificateChainSha256 就没区别了

所以为什么不直接用 REALITY

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

如果安装了未知来源的根证书，xray能否保护https流量不被解密呢？ #4392

{{title}}

{{editor}}'s edit

{{editor}}'s edit

Replies: 2 comments 19 replies

{{title}}

This comment was marked as off-topic.

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

{{title}}

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

{{title}}

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

{{title}}

Select a reply

如果安装了未知来源的根证书，xray能否保护https流量不被解密呢？ #4392

lhbdhr Feb 14, 2025

Replies: 2 comments · 19 replies

RPRX Feb 14, 2025 Maintainer

This comment was marked as off-topic.

RPRX Feb 25, 2025 Maintainer

intmain0 Feb 25, 2025

RPRX Feb 25, 2025 Maintainer

intmain0 Feb 25, 2025

Benjamin1919 Feb 25, 2025

intmain0 Feb 25, 2025

lhbdhr Feb 25, 2025 Author

intmain0 Feb 25, 2025

lhbdhr Feb 25, 2025 Author

RPRX Feb 25, 2025 Maintainer

lhbdhr
Feb 14, 2025

Replies: 2 comments 19 replies

RPRX
Feb 14, 2025
Maintainer

RPRX Feb 25, 2025
Maintainer

RPRX Feb 25, 2025
Maintainer

Benjamin1919
Feb 25, 2025

lhbdhr Feb 25, 2025
Author

lhbdhr Feb 25, 2025
Author

RPRX Feb 25, 2025
Maintainer