大佬们,这个有说法嘛?\ Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者,它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。 这意味着,每当用户访问 Cloudflare 上启用了 ECH 的网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。
Cloudflare 目前已经强制为所有免费计划的用户默认启用了 ECH ,且无法手动关闭。对于 GFW 来说,加密的 SNI 意味着,GFW 将不再能够通过域名劫持来阻止大陆用户访问国际互联网,仅剩的手段是 IP 封禁和 DNS 污染。
Cloudflare 所推行的 ECH 有着很强的特征,这意味着所有使用 ECH 的通信都很容易被识别,尽管 GFW 将不再能够通过 SNI 来识别用户的目标网站。这与此前并未得到推行的 ESNI 技术不同,留给 GFW 的选项并不多。
要么阻断所有 ECH 流量(其效果将等同于封禁整个 Cloudflare 网络,这意味着所有使用 Cloudflare 的网站将会被全数封锁。然而,Cloudflare 服务了全球约 20% 的互联网流量,贸然封禁它带来的后果是不可估量的);要么耗费大量资源,维护一个黑名单 IP 列表;要么对出境网络实施彻底的白名单制度。
ECH 的未来尚不明朗,但我们仍将拭目以待。
消息来源:@TestFlightCN
1
nbndco 2023-09-30 17:08:27 +08:00
黑名单 IP 无法维护,CF 使用 anycast ,IP 地址都是一样的。白名单同理。
除了 DNS 污染只有全封 |
2
Jirajine 2023-09-30 17:19:30 +08:00 via Android 11
这个有点像 domain front ,所有前置予都是 cloudflare-ech.com ,并且浏览器默认只会在使用 doh 的同时才会启用 ech ,把这个域名封禁了来强制客户端回退到明文的 client hello 和禁用 doh 应该会变成通用做法。
毕竟需要审查流量的实体不止 GFW ,包括公司、企业等机构,以及你自家的网关等都有合理的需求。 这标准增加了审查难度或许能让一些落后的国家放行原本要屏蔽的网站,但是中国这种审查最先进的国家是不可能妥协的,如果你把审查变得 impossible ,最终结果一定是国家把你联网变得 impossible 。 |
3
leonshaw 2023-09-30 17:25:55 +08:00 via Android
互联网流量加密的最后一块拼图
|
4
leo97 2023-09-30 17:39:48 +08:00 via Android
除了加速,我只感觉到快
|
5
yinmin 2023-09-30 17:59:34 +08:00
想多了。阻断所有 ECH 流量,客户端会自动降级到传统 SNI 明文模式,仍然可以访问网站。
|
6
swulling 2023-09-30 18:00:02 +08:00 via iPhone
支持未备案境外网站全部封禁。
|
7
lxcopenwrt 2023-09-30 18:30:10 +08:00
cloudflare 应该优先考虑在 http3 上使用而 http2/1.1 上的 ECH 应只对非中国大陆 IP 开启,QUIC 已经用了几年至今还没看见 GFW 拿出对付 TCP 的 SNI 检测+reset 这样高效的应对措施(封 IP/端口除外)
|
8
AlphaTauriHonda 2023-09-30 18:42:15 +08:00 1
https://crypto.cloudflare.com/cdn-cgi/trace
tls=TLSv1.3 sni=encrypted https://v2ex.com/cdn-cgi/trace tls=TLSv1.3 sni=plaintext https://tls-ech.dev You are using ECH. :) V2EX 没开 ECH @livid |
9
bestsanmao 2023-09-30 18:52:20 +08:00
|
10
AlphaTauriHonda 2023-09-30 19:05:39 +08:00 via iPhone
|
11
yyzh 2023-09-30 19:06:43 +08:00
@bestsanmao 同.最新版 chrome 117.0.5938.132 三个都是未开启
|
13
Jirajine 2023-09-30 19:15:21 +08:00 via Android
@AlphaTauriHonda #10 不需要升级,把 cloudflare-ech.com 添加到 sni reset 的列表就完事了。
对国内用户来说,这个标准最大的作用是针对你用的机场等代理服务商的二次审查。配合 doh ,配置正确的情况下(当然不包括机场提供的 clash 托管配置等普通用户正在使用的方式),现在你用的机场无法审计屏蔽启用了 ech 的网站(很多需要被屏蔽的网站都使用了 cloudflare ),也无法记录日志。 |
14
AlphaTauriHonda 2023-09-30 19:46:34 +08:00
|
15
1423 2023-09-30 20:16:49 +08:00
免费用户 ECH 是 Enabled by default for Free zones.
挟广大免费站长用户为质, 奋力推进新技术, 算是比较好的策略, 能够极大推进技术普及 Chrome 当前如果配置了代理就禁用了 ECH, 未来应该会更新, 毕竟 DOH 和之后的 h2 连接都能走 socks5 代理, 没道理不支持 只是代理软件没办法按域名分流了 可以想见未来, 代理软件可以同时开启一个 DOH 服务器, 自动对 DOMAIN 规则的 Type65 做删除操作, 如此才能分流. rule-bases dns ware, 比如 mosdns 也或许会支持对 Type65 做操作,比如删除 ipv6 ,删除 ipv4, 或删除 h3; 以避免浏览器发起尝试 |
16
1423 2023-09-30 20:21:42 +08:00
当下要做的可以是
1. 将自用 DNS 服务器升级为支持 DOH 的软件, 就算是本地运行的也应当支持 DOH 2. 接受 DOH 普及的现实, 即使是内网, 也将浏览器 DNS 设置为本地 DOH 服务器 3. 密切关注 DNS 服务器更新, 以便自定义 Type65 记录 |
17
makelove 2023-09-30 20:33:10 +08:00
只要 DNS 污染解决不了其它都对墙只是伤个墙皮,普通用户照样上不了 v2
|
18
slowmist 2023-09-30 21:12:35 +08:00
SNI 伪装还有意义吗?
|
20
whileFalse 2023-09-30 23:20:48 +08:00 via Android
全封就完了 还不可估量...
|
21
whileFalse 2023-09-30 23:23:27 +08:00 via Android
@lxcopenwrt cf 的目的是保护隐私 不是对抗中国政府
|
22
Livid MOD |
23
AlphaTauriHonda 2023-10-01 06:41:40 +08:00 via iPhone
|
24
logAn7 OP @AlphaTauriHonda #23 我现在就在直连 v 站,亲测可行
|
25
zhangyz1997 2023-10-01 10:25:50 +08:00
@logAn7 直连 V 站应该是 V 站有 HTTPS Record, 浏览器支持的话可以直通 QUIC, 并非 ECH
www.v2ex.com. 5m0s HTTPS 1 . alpn="h3,h2" |
26
AlphaTauriHonda 2023-10-01 10:39:20 +08:00 via iPhone
@logAn7 我还是
https://v2ex.com/cdn-cgi/trace tls=TLSv1.3 sni=plaintext V2EX 的 ECH 还没生效,等几天吧。 你可以试试 https://www.ptt.cc/cdn-cgi/trace 和 https://lihkg.com/cdn-cgi/trace ptt.cc 的 ECH 生效了,Lihkg 还没有。 @zhangyz1997 应该是这样的,测试一下 https://www.ptt.cc/cdn-cgi/trace |
27
zhangyz1997 2023-10-01 11:53:26 +08:00
@AlphaTauriHonda 都能自动升级为 QUIC, 其实我觉得现在 QUIC 也够用了, 文字网页也谈不上 QoS 得有多厉害
ECH 也不知道为啥一定得有个 Outer SNI,回头墙不讲武德直接 RST 那个 Outer 的 SNI 就搞笑了 |
28
SekiBetu 2023-10-01 12:02:09 +08:00
后续会更新可以让用户手动关闭的,不然这么大一个运营商封了就没了
|
29
adfs 2023-10-01 12:29:25 +08:00 via Android
|
30
adfs 2023-10-01 12:30:17 +08:00 via Android
为什么你们都没带 www
|
31
daisyfloor 2023-10-01 14:50:25 +08:00
@1423 我关闭代理 ECH 就启用了,就是加密的,开着代理 ECH 就没启用。
|
32
br2049 2023-10-06 13:43:58 +08:00
@AlphaTauriHonda #26 今天发现 ptt 又变成 sni=plaintext 了
|
33
br2049 2023-10-06 13:55:20 +08:00
测试了下 https://cloudflare-ech.com/cdn-cgi/trace 依旧可以访问 sni=encrypted
但是其他网站 sni 已经变成原来的 plaintext |
34
br2049 2023-10-06 14:57:00 +08:00
猜测是 cloudflare 主动关掉了中国地区的 ech
|
35
AlphaTauriHonda 2023-10-06 16:38:56 +08:00 via iPhone
@br2049 Cloudflare 把 Free Plan 的 ECH 关了,大概是因为 ECH 出了问题。
|
36
journalist 2023-10-09 08:03:19 +08:00 via iPhone
代理软件应该如何继续实现域名分流?用 fakeip 吗?
|
37
journalist 2023-10-09 08:06:34 +08:00 via iPhone
另外基于域名的规则应该是绝大部分防火墙软硬件的基础功能吧,全都没法用了?
|
38
lysS 2023-10-11 10:43:54 +08:00
加密 SNI? 墙一棒子给你打死
|
39
AlphaTauriHonda 2023-10-12 14:42:23 +08:00 via iPhone
|
40
orangie 274 天前
昨天开始,cloudflare 无法访问了,不知道是否是这个原因,来挖坟。
|
41
param 234 天前
@AlphaTauriHonda 可惜
|