软路由证书固定：HSTS预加载域名列表更新

<h1>软路由证书固定：HSTS预加载域名列表更新，代理ip不掉线秘籍</h1>

<h2>为什么软路由突然报“证书不信任”？</h2>
昨晚群里一位做TikTok矩阵的朋友炸锅：软路由里跑的Clash突然全军覆没，浏览器红字“证书无效”，代理ip全被重置。折腾三小时才发现，HSTS预加载列表悄悄更新，他之前自签的2048位证书被Chrome 124直接拉黑，连带着域名也进黑名单。别笑，这坑踩过的人一半以上。

<h2>HSTS预加载到底是啥？</h2>
简单说就是浏览器把“只能HTTPS”的域名写死进代码，一旦你的域名在列表里，用户首次访问就必须看到有效TLS证书，否则直接阻断，不给你跳转到HTTP的机会。Cloudflare、Google、GitHub都在里边，好处是防劫持，坏处是——你自签的野路子证书瞬间裸泳。

<h2>软路由证书固定三步走</h2>

1. 换证书：别再用OpenSSL随手签，去Let’s Encrypt撸90天免费 wildcard，ACME脚本+定时任务，软路由每周自动续签，省心到飞起。
2. 固定公钥：在Clash/PassWall的TLS字段里把SPKI指纹写死，防止中间人偷偷换证。一条命令openssl x509 -pubkey -in fullchain.pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64就能拿到，复制粘贴别手抖。
3. 域名进HSTS预加载：提交前先把preload、includeSubDomains、max-age=63072000写进响应头，再跑官网检测，一次性通过就别改配置，Google审核2-6个月，期间任意子域掉HTTPS都会被拒，别手痒。

<h2>代理ip池如何同步“不翻车”</h2>
很多人忽略：HSTS更新后，旧域名被强制HTTPS，可你的socks5出口还在走http://ip:port，浏览器一看“混合内容”，直接block。解决也简单——

• 把代理IP池全部升级成https+sni分流，软路由端用“域名前置”技术，把真实IP藏在Cloudflare边缘节点后面，就算列表更新，也只会封边缘域名，主业务IP安然无恙。
• 采购住宅代理时，让供应商提供“预加载白名单域名”，踩过坑的厂商会告诉你哪些域名近期要避坑，别贪便宜买机房IP，被封一次账号降权，哭都来不及。
• 定时跑脚本对比Chrome Canary与Stable的HSTS差异，提前两周换域名，留足缓冲，比临时抱佛脚强太多。

<h2>常见作死瞬间Top3</h2>

1. 证书续签忘了重启dnsmasq，旧指纹留在客户端，第二天用户全掉线。
2. 为了省钱把主域名和代理域名放在同一条NS，HSTS一更新，连带主站也打不开。
3. 用免费CDN隐藏IP，却忘了在CDN上也部署证书，浏览器拿到裸IP，直接证书 mismatch，代理IP秒变废品。

<h2>懒人清单：今晚就能搞定</h2>

• 升级OpenSSL≥1.1.1w，关闭TLS1.0/1.1，只留1.3，省得老协议被刷。
• 把Let’s Encrypt证书路径软链接到/etc/clash/cert，写个post-hook重启服务，一条命令解决续签重启。
• 代理IP出口加一层Trojan+WS+TLS，域名提前做HSTS预加载，后续列表再怎么更新，你的指纹固定+域名白名单，双重保险。
• 最后，把以上步骤写进Shell脚本，软路由每周一凌晨3点自动跑，醒来只看日志，没ERROR就继续躺。

采购代理IP请添加微信客户经理：x31471626