V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
dzdh
V2EX  ›  问与答

稍微看了一丢丢 QUIC 的东西,问一下这玩意儿是全局加密的么

  •  
  •   dzdh · 2021-06-24 01:09:15 +08:00 · 2344 次点击
    这是一个创建于 1249 天前的主题,其中的信息可能已经有所发展或是发生改变。

    国内云的备案拦截生效么?

    ( 现在貌似是根据 解析 http header 获取 host ?)

    6 条回复    2022-01-06 17:33:39 +08:00
    iBugOne
        1
    iBugOne  
       2021-06-24 02:06:25 +08:00   ❤️ 1
    明文 HTTP 协议可以看 Host 头,常见的 TLS 加密可以看 SNI (明晚的域名),这也是现在拦截 HTTPS 依赖的东西。

    TLS 1.3 新增的 ESNI 才是真正的全局加密,什么都看不到,跟 HTTP 版本没关系,HTTP/2 就已经要求加密了,但是 SNI 还是明文的,没有强制要求,HTTP/3 这方面没变化,只是改了数据传输的方式
    Jirajine
        2
    Jirajine  
       2021-06-24 09:06:30 +08:00 via Android
    @iBugOne esni 侧漏太多,已经废弃了。现在改用新的草案 ech 。
    jingslunt
        3
    jingslunt  
       2021-06-24 11:27:12 +08:00
    Firefox 中启用过 ESNI 的用户可能会注意到,ESNI 的 about:config 选项已经不存在了。虽然 Mozilla 建议用户等待 ECH 被默认启用,但有些用户可能会希望提前启用该功能。用户可以在 about:config 中通过将 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc 设置为 true 来实现,这将允许 Firefox 在支持 ECH 的服务器上使用 ECH 。
    hronro
        4
    hronro  
       2021-06-24 13:36:54 +08:00 via iPhone
    据说某防火墙默认丢弃所有用了 ESNI 的包
    baobao1270
        5
    baobao1270  
       2021-06-24 22:02:45 +08:00
    443 直接 Reset 好吧
    zhangheng21
        6
    zhangheng21  
       2022-01-06 17:33:39 +08:00
    QUIC 连接过程主要是复用 TLS1.3 handshake 协议进行握手,但是 handshake 消息通过 QUIC 自己的 QUIC packet 进行封装,QUIC packet 虽然宣称全部加密,但是在不同握手阶段,加密级别不一样,比如初始阶段也就是 initial packet 采用的协议版本固定的加密材料派生的密钥,意味着只要中间人懂这个版本的 QUIC ,对中间人来说 initial packet 没有任何机密性可言,ClientHello 和 ServerHello 消息采用的就是 initial packet 进行封装。initial packet 后续阶段的 packet 具备和 TLS1.3 消息等效的机密性。

    至于“ http header 获取 host ” 没有这回事
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   920 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:18 · PVG 06:18 · LAX 14:18 · JFK 17:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.