@Radeon 同感，我感觉一是我自己词汇量不高，二是文化差异，很多书只是走马观花看懂大概意思，很多作者的情感根本读不出来。

@gransh eSIM 和普通手机卡管理起来其实也没太有区别吧，如果 eSIM 能强绑定设备的话应该比实体 SIM 更好管理，因为实体 SIM 还要考虑到丢失等问题

@billgong 感谢科普，目前国内好像只有联通有 eSIM 相关的业务，eSIM 绑定设备其实也能接受，也能在一定程度上提高安全性。

@dcsuibian 营业厅换卡我认为其实是对的，因为你也提到了国内手机号非常重要，如果在线就能换卡的话肯定存在很大的安全隐患，营业厅还能线下核对一下身份之类的。

@1191257428 看到了，谢谢

检查下上传的证书公钥是完整的吗，不完整的话要把上游的证书链完善一下。如果证书是用 acme.sh 生成的，文件名是 fullchain.pem 。
之前用谷歌的证书遇到过这个问题。

感谢各位的建议，最后的方案是把自己域名的 *.internal.example.com 在内网 dns 服务器中解析到了本地 ip 地址。
证书用了 let's encrypt 签发。
要让浏览器信任证书，看来没有更简单的办法啦。

@forty @yinmin @iceheart @IvanLi127 @lovelylain 谢谢，那看来这就是最好的方案了。

@NessajCN 现在不都讲究一个“零信任”的原则嘛，假设内网网络设备有问题，这样也保险。

@busier @jenson47 自签证书浏览器不信任，而且编程访问的时候会因为证书校验失败报错。

@MFWT 考虑过这种方法了，但是我自己也不敢绝对保证自签证书私钥的安全（最起码不能像权威 ca 机构那样保证），所以还是没有信任自己的证书。

@bluedawn @xcsoft passkey 确实是安全方便，唯一的问题就是兼容性，不过其实自己用也没必要考虑那么多。
但问题是 passkey 只是单次鉴权的方式，没办法持久化认证。

@lymanbernadette6 @hanierming 有些业务接触不到 Nginx 这层，而且这个不太好做限流，密码有被爆破的风险？
还是谢谢思路。

@nealot 这个本质上还是密码校验，就是是在 Nginx 这一层实现的。
但还是谢谢你的思路，确实比在应用中实现方便一点儿。

@busier 这是个思路。拓展一下：如果业务里接触不到 Nginx 这一层或者设备不方便安装证书的话，可以把证书放在浏览器的 localstorage 里，鉴权时服务器发送 challenge 由客户端签名后再返回给服务端校验，有点像 webauthn 。

@ferock 其实彩色打印对我来讲确实需求不大，平常基本没有什么彩色的文件需要打印，但就有种“我可以不用，你不能没有”的感觉。

@testonly 我看的这款 9010 原价是 3500 多，优惠完是两千出头，感觉价格确实有点高。
想问一下这类机器正常的价格应该在多少钱

@Inzufu 纯主观看法，写得多了点儿，希望能帮你打消顾虑 ()

我认为这是一个非常有意义的问题，
因为域名在设计初期本来是给企业和组织用的，后来随着互联网的普及与发展，个人用户也可以购买域名来写博客、收邮件，也有更多用户注意到了数字遗产的保存与继承问题。
同时，对于很多人而言，域名已经成为在网络世界中的一张名片，去世后域名被别人注册了就像把自己的身份给了别人，肯定会不舒服。

这种问题目前是无解的，我能想到的比较好的解决方法有两个：
1.注册商能推出一个前缀不能被重复注册的新顶级域，也能算是一个卖点。
2.在日常使用中就把生活类和正式类邮箱区分出来，注册重要应用时用 Gmail ，Outlook ，iCloud 等邮箱，给别人留邮箱时留域名邮箱，在显得专业的同时也能展示出自己的个性。

以下几个方面可以帮助你打消一些焦虑：
1. 每个域名在 Whois 中都是可以查到注册时间的，所以不用太担心去世后有人重新注册冒充你的身份。
2. 目前很多国家（包括国内）的手机号码也会被回收利用，而且在国内手机号码的鉴权权重明显高于邮件地址，可依旧没出很大的问题。
3. 我相信大多数人无意登录上了一个不属于自己的账号都会想着注销，最多去翻翻文件，当他发现是一位过世老人的账号后，他应该会感叹，而不会有恶意。

@heyeshuang 哈哈，就是有点担心这方面的问题，那看来确实是一种商业手段吧
@dann73580 谢谢，放心了