@ryd994 浏览器加密本身就是伪命题，TLS 协议安全就安全，除非能互相协商出加密的算法，oracle 还是 IBM 好像有加密的软件，带来的问题是这个加密的密钥怎么传递

@ryd994 同意你的看法。 公钥众所众知是对单向的访问意义更大。双向访问客户端的证书被众所周知就意义不大了。前一句 “公钥通过服务器的公钥加密后交还给了服务器” 是完成证书交换时做的，描述的不合适。应该是服务器讲自己的证书给客户端并要求客户端提供证书以用于验证。公钥的安全性看是 SHA1 还是 SHA2 了，SHA1 已经不安全了

@ryd994 U 盾可能我理解的不对。 硬件 token 有证书版和 RSA 版的。

@ryd994 双向认证客户端证书签发者不一定是公开的 CA，只要服务器端将客户端的签发证书置于自己的 truststore 中就能完成部署。

@ryd994 没有讨论加密，只是陈述下目前证书存在的问题和解决方案。OCSP 除了 revoke 也是在证书过期时发布，可惜浏览器不是时刻都查 OCSP 的，存在缓存或者使用 CRL，中间有一个空档期。
各大 CA 在自己家加的是 Audit Log, 谷歌强推的是 CT log，虽然还是在 beta 中。

@ryd994 chrome 浏览器更强大，谷歌强制要求所有证书被谷歌的服务验证，so，可以通过 google api 验证证书,保证证书的唯一性和有效性

@ryd994 HTTPS 赖以为生的是 CA 的可信性，可惜现在大厂也会出错，verisign 之类的也发生过。 如果不相信对方的证书有效性，可以自己发起 OCSP 验证。

@ryd994 其实你理解的不对。 国内银行的 U 盾实现的双向证书认证，可以有效的避免被攻击。因为客户用自己的私钥加密的数据，并将公钥通过服务器的公钥加密后交还给了服务器，由于公钥不是众所周知的，相对安全不少。

@mcspring 这样理解其实不太对。证书公钥主要是用来加密后续数据传输使用的私钥。只有公钥拿不到对称密钥也不能解密数据。

进 osx 的安全模式？官网应该有指导的，不如 google

@justfly 小 ca 厂乱签证书或者中间 ca 证书发生多次了。还是小心为好。

考虑下技术人员的进度难处。
考虑下实现的难易程度，还有好好说话去说服，不要强迫接受。
最好懂架构

https 可是有降级攻击的~

@lml12377 zk 的配置很复杂，建议看 kafka 的文档，里面有推荐配置还有解释，比我说的要权威多了。

kafka 的官方文档十分的详细，已经到发指了。另外不想看英文的网上有很多中文版的文档啊。
kafka 可以视作中间件，消息队列，客户端，服务端，完全看你怎么用。
zookeeper 用于分布式管理的。

淘宝买一块大桌板 然后宜家买桌腿

推荐西门子洗衣机+西门子干衣机

没有在项目模块设置里设置成 compile 模式吧？