稍微看了一丢丢 QUIC 的东西,问一下这玩意儿是全局加密的么

2021-06-24 01:09:15 +08:00
 dzdh

国内云的备案拦截生效么?

( 现在貌似是根据 解析 http header 获取 host ?)

2350 次点击
所在节点    问与答
6 条回复
iBugOne
2021-06-24 02:06:25 +08:00
明文 HTTP 协议可以看 Host 头,常见的 TLS 加密可以看 SNI (明晚的域名),这也是现在拦截 HTTPS 依赖的东西。

TLS 1.3 新增的 ESNI 才是真正的全局加密,什么都看不到,跟 HTTP 版本没关系,HTTP/2 就已经要求加密了,但是 SNI 还是明文的,没有强制要求,HTTP/3 这方面没变化,只是改了数据传输的方式
Jirajine
2021-06-24 09:06:30 +08:00
@iBugOne esni 侧漏太多,已经废弃了。现在改用新的草案 ech 。
jingslunt
2021-06-24 11:27:12 +08:00
Firefox 中启用过 ESNI 的用户可能会注意到,ESNI 的 about:config 选项已经不存在了。虽然 Mozilla 建议用户等待 ECH 被默认启用,但有些用户可能会希望提前启用该功能。用户可以在 about:config 中通过将 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc 设置为 true 来实现,这将允许 Firefox 在支持 ECH 的服务器上使用 ECH 。
hronro
2021-06-24 13:36:54 +08:00
据说某防火墙默认丢弃所有用了 ESNI 的包
baobao1270
2021-06-24 22:02:45 +08:00
443 直接 Reset 好吧
zhangheng21
2022-01-06 17:33:39 +08:00
QUIC 连接过程主要是复用 TLS1.3 handshake 协议进行握手,但是 handshake 消息通过 QUIC 自己的 QUIC packet 进行封装,QUIC packet 虽然宣称全部加密,但是在不同握手阶段,加密级别不一样,比如初始阶段也就是 initial packet 采用的协议版本固定的加密材料派生的密钥,意味着只要中间人懂这个版本的 QUIC ,对中间人来说 initial packet 没有任何机密性可言,ClientHello 和 ServerHello 消息采用的就是 initial packet 进行封装。initial packet 后续阶段的 packet 具备和 TLS1.3 消息等效的机密性。

至于“ http header 获取 host ” 没有这回事

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/785430

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX