你遇到的是哪一類「更新失敗」
多數圖形用戶端在第一次貼上訂閱 URL 或載入遠端設定時,行為是「從你指定的 HTTPS 位址下載內容,再寫入本機」。若匯入當下成功,之後在背景或手動按「更新訂閱」「重新整理遠端資源」卻常失敗,常見有幾類表面現象:介面顯示憑證相關字樣、TLS/SSL handshake 失敗、連線逾時、下載到一半卡住,或沒有明確訊息卻一直轉圈。這些往往和「訂閱連結是否貼錯」無關,而與你這台電腦在發出該次 HTTPS 請求時的網路路徑、本機信任鏈、以及系統時間有關。
本篇文章是訂閱匯入教學的補充:不教你訂閱從何取得、也不展開 proxy-providers 的 YAML 語法細節,而是假設你已匯入成功,專心處理「往後週期性更新卻不穩」這件事。你會學到一套有先後順序的檢查表,讓多數人不必在社群貼幾行錯誤碼、苦等隨緣回覆,也能在自家環境內自洽完成排查。
第一步:本機系統時間與時區,是所有 HTTPS 的底層前提
當用戶端以 HTTPS 連到訂閱站或遠端規則的網址,會驗證伺服器端憑證的有效區間。若你電腦的系統時間比真實時間早、晚得太多,憑證在客戶端看起來就會變成「尚未生效」或「已過期」,錯誤訊息可能寫 certificate is not valid yet、expired,或泛稱的 TLS 連線失敗。這一類在筆記型電腦沒有即時上網校時、手動關掉時間同步、雙系統剛切換當天的環境特別常見,而且往往「瀏覽器偶爾能開、用戶端卻掛」,讓人誤以為是 Clash 的問題。
請先在作業系統的日期與時間設定裡,確認已開啟網路時間同步與正確的時區。修正後等十餘秒,再重試一次用戶端內的更新。不要跳過這步:它是成本最低、卻在實務上能一次解決大量怪現象的動作。若你懷疑校時有漂移,可另外用指令或小型工具對比網路時間,確保與實際日期差距在幾分鐘以內即可。
第二步:與訊息關鍵字對讀,分辨「憑證不被信任」與「單純斷線」
在時間正常的前提下,TLS 錯誤有時指向作業系統信任庫:例如企業或學校在本機額外安裝了攔截型憑證、或某次手動刪了根憑證;也可能指向目標站真的回了異常內容。若用戶端寫到「untrusted」「unknown authority」等字樣,可先用同一台機器、同一條寬頻的瀏覽器開啟訂閱 URL 或規則 URL 做比對(僅在自家、勿公開分享),看是否同樣出現憑證警告。若瀏覽器也警告,則需先釐清是否為中間人裝置、惡意軟體、或臨時性錯接 DNS。
相對地,訊息若是逾時、連線重設、或沒有憑證名詞、只有「timeout」,多數是路徑或防火牆問題,不應往憑證庫亂補。把錯誤敘述先分邊,能避免在論壇看到「關掉某安全校驗」的危險建議就照抄;任何降低 TLS 驗證的作法,都應在你確定是可信來源、且出於診斷需要時、短暫在可控環境下嘗試,而不是變成日常設定。
rule-providers 的遠端規則,本質上都是「用戶端主動發起的 HTTPS 下載」。因此同一台機器上,訂閱能更新但規則永遠失敗時,下一步該看的是兩邊的網域、路徑與在規則裡的走向是否不同,不是只有憑證本身。
第三步:避開「自己代理自己」的迴圈與不預期走節點
一個極高頻、卻很難在錯誤訊息裡一眼看出的情況是:訂閱或規則的網址剛好也命中了你設的代理規則,導致拉訂閱的連線從本機出發、先被送到某個遠端節點,再從那個節點去抓你的訂閱。若目標只允許直連、或與你節點的網路不相容,就會在 UI 上表現成「怎麼按都更新不了」。有時則是多層套娃:系統還有另一層外掛代理、外掛又指回本機埠,產生迴圈或黑洞。
實務上,請在設定裡尋找與你訂閱或規則站台網域相關的條目,把拉取遠端設定那條流量明確放進直連或單獨的例外策略,讓用戶端在更新時不必先經過你的出口節點。若你使用較基礎的「規則模式」,也能先暫改為僅在更新時以全域直連測驗;確認更新成功,再還原分流。進階使用者若已導入 完整規則分流,可檢查 MATCH 之後的預設走法,把「更新專用」相關網域放在較上層的直連,避免最後一條規則全送去代理而踩雷。
第四步:系統代理、TUN 與「兩層在搶同一段流量」
在 Windows 與部分桌面 Linux 上,系統代理開關與 Clash 的系統代理注入之間,若還夾了瀏覽器外掛、其他 VPN、或遠端桌面軟體,有機會讓單一應用程式的連線在底層被改寫兩次。你可在更新失敗的當下,暫時關掉瀏覽器裡的獨立代理、檢查系統內建「手動代理」清單是否重複。若你使用 TUN 模式,要記得 TUN 會在較低層接管,部分情境下和傳統系統代理行為疊加,導致除錯訊息混亂。診斷期間,常見做法是只保留一條你確定的主路徑,再試更新。
行動裝置上,私人 DNS 或「永遠開啟的 VPN 設定」有時也會在背景改寫路徑;當用戶端從行動熱點轉到 Wi‑Fi 或反過來,若沒有完全重啟用戶端,快取下來的舊介面也會讓人誤以為一直在轉圈。可完全結束用戶端(含關掉背景常駐)再開、清一次重試,常能排除單次狀態錯亂。
第五步:專心看 rule-providers 與「遠端規則集」的拉取
當你使用包含遠端規則庫的完整設定,除了節點訂閱,還會有週期性下載的規則清單。若此時只有規則失敗、節點訂閱卻正常,多數是兩邊的網路走向不同:訂閱走直連、規則檔的網域在別的分組。請在用戶端內的日誌與下載欄位觀察該遠端網址的完整主機名,回頭對照你的 rules 前後順序。若你使用社群維護的遠端規則,也要留意倉庫遷移、raw 位址變更等公告,舊的 raw 位址有時還在但偶發被限速或阻擋。
在無法一時判斷時,可先用減法:暫時以最小可運作的設定測一輪,只留訂閱與基本規則、先不要合併太多遠端 provider,看更新是否恢復;再逐一加回。這種分半法雖不炫技,卻是維修現場最省時間的套路之一。
第六步:DNS、Fake-IP 與「解析到的 IP 不對勁」
少數情況下,更新連線本身已出發,但連到的 IP 是錯的或被劫持,導致 TLS 憑證主機名不符。若你曾調整 Fake-IP 與 DNS 區塊,可先把假解析相關選項在診斷期間關到較單純的組合,讓用戶端在更新時使用你可預期的解析來源。企業內部 DNS 有時也會攔下特定類別網域,需要與管理員或自家路由器設定對看。
不必在第一步就把 DNS 搞到極致細緻,但若你在前面幾步都沒有進展、且錯誤訊息隱隱帶有「主機名與憑證不一致」的語氣,就要把解析列為下一輪重點,而不是重灌用戶端。
一頁帶着走的實務檢核表
下面順序是建議的由便宜到貴、由內而外的檢查,你可列印下來,每次遇到大範圍的更新失敗就照做一遍。第一,確認系統時間與時區正確且啟用網路校時。第二,閱讀用戶端日誌,把訊息粗分為「憑證/TLS 類」與「斷線/逾時類」。第三,釐清訂閱與規則網域在規則裡是否不該被送去代理卻被送了,或存在自我參照。第四,在桌面環境中暫關多餘的代理層,只保留一條主路。第五,在仍有 Fake-IP 等進階設定時,短暫簡化 DNS 行為再測。第六,若用最小設定可更新、完整合併就不行,則針對後來加上的每一段遠端資源行分半測試。
多數人走完此表,會落在「時間 or 迴圈 or 多層代理」三者之一。真正少見的是純用戶端內部損毀,因此不必急著卸載重裝。若你仍要保留 GitHub 與原專案資訊,可在專用段落閱讀授權與專案公告,和安裝包取得分開處理;用戶端下載以本站說明為準、較可預期版本與權限行為。延伸閱讀也可瀏覽說明文件總覽,從大圖上理解核心與圖形介面各自責任。
寫在後面:讓除錯變成可重複的習慣,而不是一場隨緣的猜題
能匯入卻難以維持更新,本質上是在問「這台機器發出的 HTTPS 請求,在當下是否走了你以為的那條路」。把本機時鐘、憑證與幾層代理釐清之後,多數在論壇上被歸因為「節點爛、軟體爛」的狀況,其實有跡可循。你不必一次記住每個參數名,只要學會照順序排除、並在變更設定後只改一處、立刻驗證,日後不論服務商怎麼遷移遠端位址、或本機多裝了哪個小工具,都能較快回復到可更新的狀態。相較於在介面上狂按重試、把節點從上到下輪點一輪,有結構的排查能省下大量心力和時間。若你正在挑選一個能長期用、介面也清楚顯示錯誤日誌與上次成功更新時間的用戶端,歡迎到本站用乾淨來源安裝再搭配本文的檢查表。→ 立即免費下載 Clash,開啟流暢上網新體驗