Cloudflare 宣布开始推行 Encrypted Client Hello 标准

2023-09-30 16:59:32 +08:00
 logAn7

大佬们,这个有说法嘛?\ Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者,它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。 这意味着,每当用户访问 Cloudflare 上启用了 ECH 的网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。

Cloudflare 目前已经强制为所有免费计划的用户默认启用了 ECH ,且无法手动关闭。对于 GFW 来说,加密的 SNI 意味着,GFW 将不再能够通过域名劫持来阻止大陆用户访问国际互联网,仅剩的手段是 IP 封禁和 DNS 污染。

Cloudflare 所推行的 ECH 有着很强的特征,这意味着所有使用 ECH 的通信都很容易被识别,尽管 GFW 将不再能够通过 SNI 来识别用户的目标网站。这与此前并未得到推行的 ESNI 技术不同,留给 GFW 的选项并不多。

要么阻断所有 ECH 流量(其效果将等同于封禁整个 Cloudflare 网络,这意味着所有使用 Cloudflare 的网站将会被全数封锁。然而,Cloudflare 服务了全球约 20% 的互联网流量,贸然封禁它带来的后果是不可估量的);要么耗费大量资源,维护一个黑名单 IP 列表;要么对出境网络实施彻底的白名单制度。

ECH 的未来尚不明朗,但我们仍将拭目以待。

消息来源:@TestFlightCN

9021 次点击
所在节点    Cloudflare
41 条回复
nbndco
2023-09-30 17:08:27 +08:00
黑名单 IP 无法维护,CF 使用 anycast ,IP 地址都是一样的。白名单同理。

除了 DNS 污染只有全封
Jirajine
2023-09-30 17:19:30 +08:00
这个有点像 domain front ,所有前置予都是 cloudflare-ech.com ,并且浏览器默认只会在使用 doh 的同时才会启用 ech ,把这个域名封禁了来强制客户端回退到明文的 client hello 和禁用 doh 应该会变成通用做法。
毕竟需要审查流量的实体不止 GFW ,包括公司、企业等机构,以及你自家的网关等都有合理的需求。
这标准增加了审查难度或许能让一些落后的国家放行原本要屏蔽的网站,但是中国这种审查最先进的国家是不可能妥协的,如果你把审查变得 impossible ,最终结果一定是国家把你联网变得 impossible 。
leonshaw
2023-09-30 17:25:55 +08:00
互联网流量加密的最后一块拼图
leo97
2023-09-30 17:39:48 +08:00
除了加速,我只感觉到快
yinmin
2023-09-30 17:59:34 +08:00
想多了。阻断所有 ECH 流量,客户端会自动降级到传统 SNI 明文模式,仍然可以访问网站。
swulling
2023-09-30 18:00:02 +08:00
支持未备案境外网站全部封禁。
lxcopenwrt
2023-09-30 18:30:10 +08:00
cloudflare 应该优先考虑在 http3 上使用而 http2/1.1 上的 ECH 应只对非中国大陆 IP 开启,QUIC 已经用了几年至今还没看见 GFW 拿出对付 TCP 的 SNI 检测+reset 这样高效的应对措施(封 IP/端口除外)
AlphaTauriHonda
2023-09-30 18:42:15 +08:00
https://crypto.cloudflare.com/cdn-cgi/trace
tls=TLSv1.3
sni=encrypted

https://v2ex.com/cdn-cgi/trace
tls=TLSv1.3
sni=plaintext

https://tls-ech.dev
You are using ECH. :)

V2EX 没开 ECH

@livid
bestsanmao
2023-09-30 18:52:20 +08:00
@AlphaTauriHonda
为啥我测试您给出的三个地址
都是未开启啊
AlphaTauriHonda
2023-09-30 19:05:39 +08:00
@bestsanmao 要先启用 ECH ,最好在电脑上测试。

@Jirajine 🧱大概要连夜升级了。
yyzh
2023-09-30 19:06:43 +08:00
@bestsanmao 同.最新版 chrome 117.0.5938.132 三个都是未开启
Aloento
2023-09-30 19:11:47 +08:00
@swulling #6 还国际互联网一片净土是吧(
Jirajine
2023-09-30 19:15:21 +08:00
@AlphaTauriHonda #10 不需要升级,把 cloudflare-ech.com 添加到 sni reset 的列表就完事了。
对国内用户来说,这个标准最大的作用是针对你用的机场等代理服务商的二次审查。配合 doh ,配置正确的情况下(当然不包括机场提供的 clash 托管配置等普通用户正在使用的方式),现在你用的机场无法审计屏蔽启用了 ech 的网站(很多需要被屏蔽的网站都使用了 cloudflare ),也无法记录日志。
AlphaTauriHonda
2023-09-30 19:46:34 +08:00
1423
2023-09-30 20:16:49 +08:00
免费用户 ECH 是 Enabled by default for Free zones.
挟广大免费站长用户为质, 奋力推进新技术, 算是比较好的策略, 能够极大推进技术普及

Chrome 当前如果配置了代理就禁用了 ECH, 未来应该会更新, 毕竟 DOH 和之后的 h2 连接都能走 socks5 代理, 没道理不支持
只是代理软件没办法按域名分流了
可以想见未来, 代理软件可以同时开启一个 DOH 服务器, 自动对 DOMAIN 规则的 Type65 做删除操作, 如此才能分流.
rule-bases dns ware, 比如 mosdns 也或许会支持对 Type65 做操作,比如删除 ipv6 ,删除 ipv4, 或删除 h3; 以避免浏览器发起尝试
1423
2023-09-30 20:21:42 +08:00
当下要做的可以是
1. 将自用 DNS 服务器升级为支持 DOH 的软件, 就算是本地运行的也应当支持 DOH
2. 接受 DOH 普及的现实, 即使是内网, 也将浏览器 DNS 设置为本地 DOH 服务器
3. 密切关注 DNS 服务器更新, 以便自定义 Type65 记录
makelove
2023-09-30 20:33:10 +08:00
只要 DNS 污染解决不了其它都对墙只是伤个墙皮,普通用户照样上不了 v2
slowmist
2023-09-30 21:12:35 +08:00
SNI 伪装还有意义吗?
TestName
2023-09-30 23:12:05 +08:00
@swulling 支持未备案的所有互联网发言全部有罪。原生之罪
whileFalse
2023-09-30 23:20:48 +08:00
全封就完了 还不可估量...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/978306

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX