为什么运营商不自己搭建 DoH DoT 服务器呢？

但不能防止运营商劫持

不赚钱的项目，内部立项都困难。

@tool2d 正常网站都依赖 SNI
真的，不是抬杠

先 SSL 后 HTTP ，你说的 Host header 那是 SSL 之后的步骤了

以国家资本主义权贵资本主义为特色的社会主义，做好事永远漏洞百出，做坏事永远滴水不漏

@julyclyde "正常网站都依赖 SNI", 这个服务端可以配置的，SNI 的目的是一个 IP 托管多个域名。在 SSL 建立连接的时候，给浏览器发送合适的域名，用来验证签名。

如果省略 SNI ，那么服务端只要发送默认域名，就能顺利建立连接了。

据我所知，目前还 wall 没有域名证书里进行阻拦。阻断是在 SNI 的时候。

感觉加密也没多大实际意义

就算搞了, 会有多少人用吗? 都用 DoH DoT 了, 大家肯定更愿意相信阿里腾讯 /谷歌 CloudFlare 的 DoH, 而不是有过劫持前科的运营商.

当前的网络从设计上就相信了内网都是可信的设备, 如果你觉得你在的学校 /企业内网不可信, 你应该使用 VPN 连接互联网.

你猜运营商给你的 dns 服务器到你家之间有中间人吗

而且企业内部肯定是自行搭建 dns 服务器的，家用路由器大部分也带一个，总之就是没意义

@proxytoworld #16 奇安信呗，把 114.114.114.114 给买了。

@tool2d 按我的理解，在 tls1.3 以下版本的 https 握手前，如果服务端要求必须通过域名访问，那么不发送 SNI 就肯定无法成功建立链接。况且，用 HTTPS 绝大部份是通过域名访问的，因为证书需要校验域名。

没配置 sni 就能访问意味着通过 IP 地址也能访问，意味着该 IP 地址没有反向代理、CDN 、负载均衡等这类基础设施，这在目前成熟商用网络中很少出现。 所以你的假设根本不成立。

为什么国内到目前为止 tls1.3 几乎处于不可用？ 因为 tls1.3 中支持的 ECH 可以完全加密 SNI ，如果再加上 DoH/DoT 等 DNS 加密技术，那么对于运营商和监管部门来说，在网络层面的流量完全匿名，无法精确阻断了，你上谷歌 V2EX 他们再也管不了了。

你觉得他们真想搞这玩意么，ESNI 国内都没几个人碰更何况各种非 udp dns 了

@Greenm "没配置 sni 就能访问意味着通过 IP 地址也能访问", 我不是这个意思，不发送 SNI 字段，仅仅是服务器发送回默认域名的证书。还是会走正常域名验证的那一套完整流程。

从技术层面看，SNI 只是 ClientHello 里一个可选项，不是必选项。当然我也不否认，一部分网站必须提供 SNI 才能建立连接，这是和服务器代码强相关的。

@tool2d 你说得对，SNI 在 TLS1.2 及以前中确实不是强制要求的， 但这种场景非常少见，大部分网站必须要求提供 SNI 才能找到正确的域名建立连接。

@tool2d 我觉得你是只学了一些技术，却缺乏生产环境的经验，才会这样说的吧
因为生产环境有需求，所以服务器才会配置 SNI 。这根本就不是个技术上可选与否的问题

@julyclyde 我最后一句有提到的，你觉得为什么要刻意不去配置 SNI ，还不是为了能顺利跳过 SNI 阻断。

这不算服务器的问题，而是客户端的问题。只要客户端不发送 SNI 并且顺利获取证书后握手成功，就不会出现被强制阻断的情况。

@tool2d 客户端不发送 SNI 会访问不了绝大多数网站吧

SNI 是方法，提供多个域名服务是目的。
解决的方法是 ESNI 和 ECH 。
带来的问题是 DNS 会越来越重，增加了基建的复杂度，Cloudflare / Google 等的话语权会变得更重。

@proxytoworld 就不该知道用户访问 什么了。就该保护，你看看当前的手机卡实名制，只是对外打着保护隐私的幌子做了遮羞布。

@Greenm 他们为什么要精准阻断？肯定是目的不纯。