关于 跳过证书验证 allowInsecure 参数被移除的说明

[2dust]

关于 跳过证书验证 allowInsecure 参数被移除的说明

---

📌 原因

Xray-core 在 v26.2.6 版本（2026年2月发布）中，正式移除了 TLS 配置中的 allowInsecure 参数。

官方说明：allowInsecure 已被迁移为 pinnedPeerCertSha256，请根据发行说明和文档更新你的配置。

allowInsecure: true 的本意是"跳过 TLS 证书验证"，这种做法存在一定的安全风险，因此 Xray 官方决定用更安全、更明确的证书固定（Certificate Pinning）机制来替代它。

---

🔴 现在的状况

自 2026 年 6 月 1 日 起，所有使用了新版 Xray 内核的用户，只要配置中存在 allowInsecure 字段（无论是 true 还是 false），均会出现以下报错，导致内核无法启动：

The feature "allowInsecure" has been removed and migrated to "pinnedPeerCertSha256".
Please update your config(s) according to release note and documentation.

受影响的场景包括：

• 使用 Hysteria / Hysteria2 类型节点
• 使用任何在 TLS 设置中包含 allowInsecure 的节点配置
• 从订阅导入的节点（订阅链接中含有 insecure=1 或 allowInsecure=true 参数时，v2rayN 会自动写入配置，从而触发此错误）

---

✅ 解决方案

根据不同情况，有以下几种处理方式：

方案一：升级 v2rayN 至 7.22.5 / 升级 v2rayNG 至 2.2.3 ,（临时应急）

v2rayN 7.22.5 版本已临时恢复对"跳过证书验证"功能的支持，可作为过渡期解决方案。

⚠️ 注意：

• 需要全新下载覆盖更新，不能直接在旧版上升级。
• 根据官方说明，Xray 将于 2026 年 8 月 1 日 彻底禁用 allowInsecure，届时此方案将不再有效，请提前准备长期解决方案。

📥 v2rayN 下载地址：https://github.com/2dust/v2rayN/releases/tag/7.22.5
📥 v2rayNG 下载地址：https://github.com/2dust/v2rayNG/releases/tag/2.2.3

---

方案二：关闭跳过证书验证（推荐·最简单）

如果你开启 allowInsecure 仅仅是为了"方便连接"，而服务器证书实际上是有效的，请直接在节点编辑页面中将"跳过证书验证"关闭（设为 false / 不勾选），保存后重试即可。

---

方案三：使用 pinnedPeerCertSha256 固定证书（最安全·长期方案）

这是官方推荐的替代方案，需要先获取服务器的 TLS 证书 SHA256 指纹，然后填入配置。

获取证书指纹的命令（需要安装 OpenSSL）：

echo | openssl s_client -connect 你的服务器IP:端口 -servername 你的SNI域名 2>/dev/null \
  | openssl x509 -outform der \
  | openssl dgst -sha256

将输出的哈希值填入 TLS 配置的 pinnedPeerCertSha256 字段即可。

---

📋 总结

项目	内容
被移除的参数	allowInsecure
替代参数	pinnedPeerCertSha256
从哪个版本起失效	Xray-core v26.2.6+
影响范围	所有使用 TLS 且配置了 allowInsecure 的节点
临时解法（有截止日期）	升级 v2rayN 至 7.22.5（过渡支持至 2026-08-01）
最简单的长期解法	关闭跳过证书验证（服务器证书有效时）
最推荐的长期解法	使用证书固定 pinnedPeerCertSha256

---

如有更多疑问，可参考以下链接：

• Xray-core v26.2.6 发行说明
• v2rayN 7.22.5 发行说明
• v2rayNG 2.2.3 发行说明

[ppp2020]

用singbox是不是就可以了 不影响

[skinheadH]

是

[reolc1209]

测试了可以的

[wubengda]

使用方案二后还是不可行。看不懂错误提示：
Xray 26.6.1 (Xray, Penetrates Everything.) 94ffd50 (go1.26.3 windows/amd64)
A unified platform for anti-censorship.
2026/06/04 12:15:02.106408 [Info] infra/conf/serial: Reading config: &{Name:configTest4777401771615374794.json Format:json}
Failed to start: main: failed to load config files: [configTest4777401771615374794.json] > infra/conf: failed to build outbound config with tag proxy > infra/conf: failed to build stream settings for outbound detour > infra/conf: Failed to build TLS config. > common/errors: The feature "allowInsecure" has been removed and migrated to "pinnedPeerCertSha256". Please update your config(s) according to release note and documentation.

[2dust]

allowInsecure 设置 false

[adsl95]

经过实际测试方法2关闭证书验证也还是一样的错误提示.只能降低核心到26.1.23才正常用.
不知道具体原因,反正和楼上一样关闭也没效果.不是bug就是兼容性方面问题吧,大概.....

[qinYong999]

为什么我更新完后是这个错误:
Xray 26.6.1 (Xray, Penetrates Everything.) 9f96d16 (go1.26.3 windows/amd64)
A unified platform for anti-censorship.
2026/06/04 23:47:54.606265 [Info] infra/conf/serial: Reading config: &{Name:configTest4616712612348879979.json Format:json}
Failed to start: main: failed to load config files: [configTest4616712612348879979.json] > infra/conf: failed to build outbound config with tag proxy > infra/conf: failed to build stream settings for outbound detour > infra/conf: failed to build mask with type header-dtls > infra/conf: unknown config id: header-dtls

[DHR60]

还真有人用 kcp 啊，原本优先级都没拉太高打算过几天再适配来着