折腾Squid的HTTPS反代

发表于 2018-05-05 Disqus：

概述

Squid是一个常用的HTTP代理服务器，能做正向代理和反向代理。但是，它的HTTPS支持极其有限，~~宝宝不想看下去了~~。

支持情况

仅考虑反向代理情况，详见文档

HTTPS反代（使用https_port配置）
支持HTTP、HTTPS后端
HTTP/2计划在4.0版本中支持，正在进行中
不支持SNI（即一个HTTPS端口使用多个证书）（仅支持正向代理情况下拦截）

配置

前提条件

Squid-2.5 及更高
编译时带有--enable-ssl参数（可通过squid -v查看编译参数）

Ubuntu 16.04 官方仓库中的Squid 3.5.12不支持，需要手动编译。CentOS 6 仓库中的Squid 3.1.23支持。

配置文件（以CentOS6仓库中的Squid-3.1为例）

https_port 443 vhost cert=/path/to/cert key=/path/to/key

对于3.3及更高版本，则应把vhost改为accel。

如有多个子域名，则需要通配符证书。需要注意的是，Squid不支持SNI，即不能使用多个证书。

提高安全性可配置更详细一些

https_port 443 accel cert=/path/to/cert key=/path/to/key options=NO_SSLv2,NO_SSLv3 cipher=sth

NO_SSLv2,NO_SSLv3——用于禁止过时旧协议
cipher——可选配置，为禁用弱密码配置。参数参见Mozilla SSL Configuration Generator

其余配置保持即可。

评价

Squid作为代理服务器，对HTTPS支持比较基础。因开发者对加密的态度而不支持HTTPS的缓存服务器Varnish也在开发中的6.0版本伴随HTTP/2开始支持。除此之外，HAProxy、Traffic Server等反向代理软件对HTTPS及HTTP/2均已经有较好的支持。

但总的来说，个人认为Squid作为HTTPS服务器有点勉强，更倾向使用Nginx获得更可现代、定制的HTTPS服务。

权威DNS服务对比

发表于 2018-04-23 Disqus：

权威DNS服务是提供一个域名的DNS记录的权威服务。

我折腾权威DNS服务的历史

最早接触的是DNSPod。当时暴风影音DNS出现问题导致大范围“断网”，提供服务的DNSPod因为攻击宕机，导致大范围递归DNS服务出现问题，一时间“出了名”。当我注册了域名，要写填DNS服务时，便想到了它(~~那时2010年，注册还要邀请码。。~~)。

DNSPod提供了分运营商解析和跳转功能，非常流行。2012年，DNSPod被腾讯收购，之后被并入腾讯云序列。现在虽还有独立站点，但很久没更新，使用腾讯云账号登陆后和“云解析”没什么差异。

之后，便是2012年接触的CloudFlare了。CloudFlare主打的CDN和安全向功能。全站全自动HTTPS灰常方便，以及各种安全功能。2015年CloudFlare推出了DNSSEC测试支持，一开始只有GoDaddy等少数注册商支持DS记录（至今阿里云、腾讯云都还未支持）。

2015年，在V2EX接触了CloudXNS，X优化、私有线路等功能还是蛮有创新的。但2017年10月前后因实名制问题，颇有争议。

之后，我便开始尝试各种奇奇怪怪的DNS服务。

CloudFlare

CloudFlar的功能非常丰富。Argo Tunnel隧道、Cloudflare Spectrum端口转发、Cloudflare Access认证，各种功能基本都满足需求，有非常多的站点使用。但这是也缺点。

一些网络环境下，CloudFlare受干扰严重，CDN访问缓慢，影响体验。

Ping

服务	移动	联通
`art.ns.cloudflare.com`	84ms,0%Loss	142ms,9%Loss
`dora.ns.cloudflare.com`	76ms,10%Loss	171ms,7%Loss

Google Cloud DNS

0.20 USD/区域 + 0.40 USD/每百万查询

其他功能？？？？想多了~~除了DNSSEC~~

Ping

服务	移动	联通
`ns-cloud-e1.googledomains.com.`	Time Out	Time Out
`ns-cloud-e2.googledomains.com.`	357ms	81ms,0%Loss
`ns-cloud-e3.googledomains.com.`	266ms,10%Loss	44ms,0%Loss
`ns-cloud-e4.googledomains.com.`	257ms	Time Out,能dig

Amazon Router

0.50 USD/区域 + 0.40 USD/每百万查询
0.60 USD/每百万基于延迟的路由查询
0.70 USD/每百万Geo DNS 和临近地理位置查询

还有运行状况检查、Traffic Flow等用不起的功能。。。

不支持DNSSEC

Ping

地址可能有所不同，用不同的根域名感觉，~~很严谨~~

服务	移动	联通
`ns-1870.awsdns-41.co.uk.`	312ms,10%Loss	196ms
`ns-143.awsdns-17.com.`	252ms	211ms
`ns-1030.awsdns-00.org.`	128ms,10%Loss	76ms
`ns-742.awsdns-28.net.`	111ms	68ms

Hurricane Electric Free DNS

Free

好久之前说要支持DNSSEC，但至今没有音信。

Ping

服务	移动	联通
`ns2.he.net`	242ms	184ms
`ns3.he.net`	228ms	183ms
`ns4.he.net`	207ms	177ms
`ns5.he.net`	234ms	187ms

NS1

免费，但限制50条记录+0.5百万/月

DNSSEC支持，需手动申请

Ping

服务	移动	联通
`dns1.p10.nsone.net`	121ms	80ms
`dns2.p10.nsone.net`	113ms,10%Loss	80ms
`dns3.p10.nsone.net`	108ms	74ms
`dns4.p10.nsone.net`	120ms,10%Loss	79ms

理性办理信用卡｜让妈妈不再担心我会乱花钱

发表于 2017-11-02 Disqus：

昨天，萌新们在学活办银行卡的时候，存在有银行工作人员推荐办理信用卡这一现象。有很多小伙伴私聊助手或者在助手答疑群提问，到底什么是信用卡？在这里，小助手就来给大家介绍介绍。

先来看一下他们俩的定义：

借记卡（Debit Card），也就是所谓的“银行卡”，特点是先存款后消费（提现），不可透支。

信用卡（Credit Card），与借记卡相反，先消费后还款，可以透支。

从“花呗”到各种校园贷，越来越多的同学使用信贷消费。~~比如小助手就经历着每月9日还花呗的痛苦。~~

为了能让同学们更好的了解信贷消费，小助手之前可是做足了功课，下面就是给大家整理出的校园信贷简洁版历史。

起

2004年左右，国内开始出现面向大学生的信用卡。在发现效果良好时，各大银行纷纷跟进。“开卡送礼”、“零成本”等营销策略吸引着众多学子办理。

但信用卡的流行伴随着种种问题的发生。盲目办卡、盲目消费、无力还款的新闻时有发生。甚至出现了“额度10元年费50元”的笑话。

落

2009年6月，银监会发出《关于进一步规范信用卡业务的通知》，规定“不得向未满18周岁的学生发放信用卡(附属卡除外)”、“向经查已满18周岁无固定工作、无稳定收入来源的学生发放信用卡时,须落实第二还款来源”。这使得大学生信用卡的“势头”渐渐消退。

再起

随着互联网的发展，“校园信贷”也出现在一些企业的事业中。

2015年左右，针对大学生的网贷平台比比皆是。再之后，“校园贷”也成为了“新闻热门”。

2017年6月，《三部门关于进一步加强校园贷规范管理工作的通知》发出，明确指出“现阶段，一律暂停网贷机构开展在校大学生网贷业务”、“商业银行和政策性银行应在风险可控的前提下，有针对性地开发高校助学、培训、消费、创业等金融产品”等要求。

小助手认为，大学生一般没有的稳定经济收入，因此对于种种信贷消费产品应该保持一定的谨慎性，量力而行，如此，保持良好的信用记录就so easy啦。

参考文献

《校园信贷市场的冷与热》

《银监会进一步规范商业银行信用卡业务》

《大学生信贷再引热议：3万连环贷滚成70多万负债》

《三部门关于进一步加强校园贷规范管理工作的通知》

文：~~面对账单思考人生~~的小助手