V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
leiakun
V2EX  ›  DNS

Cloudflare 开始部署 TLS ECH

  •  
  •   leiakun · 2021-10-14 01:30:48 +08:00 · 5652 次点击
    这是一个创建于 1155 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ECH 真的能够解决 SNI 屏蔽问题吗?
    会不会防火墙直接把 ECH 流量给屏蔽掉,我看文章说 ECH 流量还是很明显的。
    还请大神解答,这个 ECH 是怎么和 DoH 配合隐藏 SNI 的?
    https://blog.cloudflare.com/handshake-encryption-endgame-an-ech-update/
    5 条回复    2023-09-13 19:13:51 +08:00
    eason1874
        1
    eason1874  
       2021-10-14 02:47:16 +08:00   ❤️ 7
    发送请求之前需要先知道域名对应的服务器 IP,常规 DNS 是明文的,会泄露解析记录。如果泄露了解析域名,接近泄露 SNI 了。所以保护 SNI 首先要用加密 DNS,而 DNS over HTTPS 是其一,确保访问的域名不会泄露。

    ECH 是 ESNI 的改进版。ESNI 只能通过 DNS TXT 记录分发证书,而 DNS 可能被缓存(不利于证书定期更新),也不灵活,因为只有一个记录,多个服务器节点需要确保用同一个证书,否则对不上。

    ECH 在 ESNI 的基础上,添加了服务器分发证书来兜底。如果 DNS 记录里的证书加密的内容解不开,就提供服务器自己的证书给客户端去重试。ECH 有两个 ClientHello,一个加密的有真实的 SNI,一个明文的有 innocuous SNI (好像是用于失败验证和忽悠中间人?不太懂这个 innocuous 的意思)
    Livid
        2
    Livid  
    MOD
       2021-10-14 04:40:42 +08:00
    a8Fy37XzWf70G0yW
        3
    a8Fy37XzWf70G0yW  
       2021-10-14 09:20:56 +08:00 via Android
    理論上只要有特徵那就可以 Block,即便是一個 Flag 也可以。
    hronro
        4
    hronro  
       2021-10-14 19:44:24 +08:00
    好耶

    不过感觉很有可能在国内最终的下场和 ESNI 一样
    yqs112358
        5
    yqs112358  
       2023-09-13 19:13:51 +08:00
    原理 cf 有个博客写的挺清楚的
    https://blog.cloudflare.com/encrypted-client-hello/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5563 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:39 · PVG 10:39 · LAX 18:39 · JFK 21:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.