kiến thức Toàn tập về dùng DNS để chặn thu hồi chứng chỉ cài phần mềm lậu trên iOS, cách dùng VPN mà không bị dính thu hồi
- Thread starter megaupload
- Start date
romany123
Senior Member
Cảm ơn mike fen, vài group search thử có bác hỏi cho zing rồi, không mod được vip, chỉ mod block ads thôi
dnhhng
Senior Member
Bác ơi bắt buộc phải có app à? Em tải profile DNS về bật lên rồi nhưng vẫn bị thu hồi app sau 7 ngày. Không dùng VPN. Ipad Ios 14.7.1Không nói nhiều như các bạn đã biết, hiện tại việc cài phần mềm của bên thứ ba không qua App Store như Esign, Scarlet, Bullfrog Assistant (sử dụng Enterprise Certificate) hoặc cài trực tiếp từ các web đã không còn xa lạ, có thể kể đến hack game, Youtube không quảng cáo, Spotify Premium. Tuy nhiên việc sử dụng chứng chỉ doanh nghiệp này có bất cập là sau một thời gian chứng chỉ đó sẽ bị thu hồi, app bị Apple blacklist dẫn đến không thể tiếp tục sử dụng được. Bài viết này sẽ hướng dẫn các thím cách để chặn thu hồi chứng chỉ, cách đối phó với app bị blacklist.
1) Phân biệt chứng chỉ bị thu hồi và app bị Apple blacklist:
- Đối với chứng chỉ bị thu hồi, khi mở ứng dụng sẽ hiện thông báo sau: Không thể xác minh ứng dụng/Unable to verify App
- Đối với app bị blacklist sẽ thông báo "XXX is no longer available”, mặc dù chứng chỉ vẫn có thể còn sống nhưng app bị blacklist sẽ hiện như trên hoặc do chứng chỉ đã bị hết hạn.
2) Làm thế nào để chặn thu hồi chứng chỉ:
https://app.box.com/file/1296566360963?s=2pmt9xdnuu41xc5pi385b6kjc71c3psc
- Việc đầu tiên phải đảm bảo tại thời điểm thực hiện chặn: các app và chứng chỉ đã được cài đặt trên thiết bị phải còn đang hiệu lực, không bị chặn và không bị thu hồi. Đừng ai hỏi tôi nếu hiện tại app và chứng chỉ chết thì làm gì, là tìm chứng chỉ còn sống để cài app.
- Tiếp đến chúng ta cài cấu hình DNS sau vào điện thoại (yêu cầu xoá hết các profile liên quan đến DNS sẵn có trước đó như adguard hay gì gì đó):
Cách thức cài đặt cấu hình các bác xem tại đây (Step 2 và Step 3) : https://adguard.com/en/blog/encrypted-dns-ios-14.html
Video:View attachment 2052170View attachment 2052171
View attachment 2052172
Cài xong vào Setting -> General -> VPN, DNS & Device Management, tìm mục Restrictions and Proxies có chỗ chọn DNS, bấm vào đó chuyển cấu hình DNS đã tải về (từ Automatic sang xxx DNS over HTTPS):
View attachment 2052181View attachment 2052182
Đây là cấu hình DNS đã chặn các tên miền thu hồi của VOZ lấy của bác HT2022 tại thread này https://voz.vn/t/share-mien-phi-id-nextdns.592441/ , tôi chỉ tạo profile để tải về.
Cài đặt xong cấu hình là bắt đầu chặn.
3) Xử lý sao đối với các trường hợp hiện thông báo Không thể xác minh ứng dụng/Unable to verify App/no longer available (tức Blacklist):
- Chỉ áp dụng được đối với iOS 16.1.2 trở xuống, các trường hợp cao hơn là không làm được chắc chắn luôn đừng hỏi nhiều. Cách làm là cài app Whitelist (https://github.com/BomberFish/Whitelist) bằng Sideloadly, cài xong bấm Apply là xong. Còn nếu iOS 16.1.2 trở lên thì chỉ còn nước tìm chứng chỉ mới mà cài lại app hê hê.
View attachment 2051721
4) Xử lý sao đối với trường hợp muốn dùng VPN mà không bị thu hồi (chỉ áp dụng đối với các giao thức OpenVPN, VMESS, VLESS, TROJAN, SHADOWSOCKS)
- Đối với giao thức Open VPN: Sử dụng app Passepartout (https://passepartoutvpn.app/) và cấu hình sử dụng DoH (https://dns2.nextdns.io/5e5f32) như hình:
- Đối với các giao thức còn lại VMESS, VLESS, TROJAN, SHADOWSOCKS, thực hiện cấu hình như sau đối với các app:
* Quantumult X:
Code:[dns] no-ipv6 prefer-doh3 doh-server=https://dns2.nextdns.io/5e5f32/proxy [filter_local] host-suffix, ocsp.apple.com, reject host-suffix, ocsp2.apple.com, reject host-suffix, ocsp.digicert.com, reject host-suffix, valid.apple.com, reject host-suffix, ocsp.entrust.com, reject host-suffix, ocsp.sectigo.com, reject host, ocsp.apple.com, reject host, ocsp2.apple.com, reject host, ocsp.digicert.com, reject host, ocsp.entrust.com, reject host, ocsp.sectigo.com, reject host,valid.apple.com, reject [rewrite_local] ^https:\/\/ocsp\.apple\.com\/ url reject ^https:\/\/ocsp2\.apple\.com\/ url reject ^https:\/\/valid\.apple\.com\/ url reject ^https:\/\/ocsp\.digicert\.com\/ url reject ^https:\/\/ocsp\.entrust\.com\/ url reject ^https:\/\/ocsp\.sectigo\.com\/ url reject
Đối với Shadowrocket/LanceX
Code:[General] dns-server = https://dns2.nextdns.io/5e5f32/proxy,45.90.28.97,45.90.30.97 bypass-system = true ipv6 = true dns-fallback-system = false dns-direct-system = false icmp-auto-reply = true dns-direct-fallback-proxy = true [Rule] DOMAIN,ocsp2.apple.com,REJECT DOMAIN,ocsp.entrust.com,REJECT DOMAIN-SUFFIX,ocsp.entrust.com,REJECT DOMAIN,ocsp.sectigo.com,REJECT DOMAIN-SUFFIX,ocsp.sectigo.com,REJECT DOMAIN,valid.apple.com,REJECT DOMAIN-SUFFIX,valid.apple.com,REJECT DOMAIN,ocsp.digicert.com,REJECT DOMAIN-SUFFIX,ocsp.digicert.com,REJECT DOMAIN-SUFFIX,ocsp2.apple.com,REJECT DOMAIN-SUFFIX,ocsp.apple.com,REJECT DOMAIN-SUFFIX,ocsp.apple.com,REJECT-DROP [URL Rewrite] ^(http|https)://ocsp.apple.com - reject ^(http|https)://ocsp2.apple.com - reject ^(http|https)://valid.apple.com - reject ^(http|https)://ocsp.digicert.com - reject ^(http|https)://ocsp.entrust.com - reject ^(http|https)://ocsp.sectigo.com - reject
megaupload
Junior Member
Hơ bác dùng chứng chỉ cá nhân, không phải Enterprise Certificate hay sao mà 7 ngày nó thu hồi rồi ?
dnhhng
Senior Member
Em dùng sideloadly + ID Apple
megaupload
Junior Member
Thế thì đúng cmnr, chứng chỉ hết hạn thì hết xài, chứ có phải bị thu hồi đâu mà chặn. Cài bằng esign dùng chứng chỉ doanh nghiệp đi.
megaupload
Junior Member
Up thớt có cập nhật...
Similar threads
