Cloudflare 宣布开始推行 Encrypted Client Hello 标准

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 209 天前的主题，其中的信息可能已经有所发展或是发生改变。

大佬们，这个有说法嘛？\ Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者，它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。这意味着，每当用户访问 Cloudflare 上启用了 ECH 的网站时，除了用户、Cloudflare 和网站所有者之外，没有人能够确定访问了哪个网站。

Cloudflare 目前已经强制为所有免费计划的用户默认启用了 ECH ，且无法手动关闭。对于 GFW 来说，加密的 SNI 意味着，GFW 将不再能够通过域名劫持来阻止大陆用户访问国际互联网，仅剩的手段是 IP 封禁和 DNS 污染。

Cloudflare 所推行的 ECH 有着很强的特征，这意味着所有使用 ECH 的通信都很容易被识别，尽管 GFW 将不再能够通过 SNI 来识别用户的目标网站。这与此前并未得到推行的 ESNI 技术不同，留给 GFW 的选项并不多。

要么阻断所有 ECH 流量（其效果将等同于封禁整个 Cloudflare 网络，这意味着所有使用 Cloudflare 的网站将会被全数封锁。然而，Cloudflare 服务了全球约 20% 的互联网流量，贸然封禁它带来的后果是不可估量的）；要么耗费大量资源，维护一个黑名单 IP 列表；要么对出境网络实施彻底的白名单制度。

ECH 的未来尚不明朗，但我们仍将拭目以待。

消息来源：@TestFlightCN

40 条回复 • 2024-03-28 17:06:42 +08:00

nbndco

209 天前

黑名单 IP 无法维护，CF 使用 anycast ，IP 地址都是一样的。白名单同理。

除了 DNS 污染只有全封

Jirajine

209 天前 via Android

这个有点像 domain front ，所有前置予都是 cloudflare-ech.com ，并且浏览器默认只会在使用 doh 的同时才会启用 ech ，把这个域名封禁了来强制客户端回退到明文的 client hello 和禁用 doh 应该会变成通用做法。
毕竟需要审查流量的实体不止 GFW ，包括公司、企业等机构，以及你自家的网关等都有合理的需求。
这标准增加了审查难度或许能让一些落后的国家放行原本要屏蔽的网站，但是中国这种审查最先进的国家是不可能妥协的，如果你把审查变得 impossible ，最终结果一定是国家把你联网变得 impossible 。

leonshaw

209 天前 via Android

互联网流量加密的最后一块拼图

leo97

209 天前 via Android

除了加速，我只感觉到快

yinmin

209 天前

想多了。阻断所有 ECH 流量，客户端会自动降级到传统 SNI 明文模式，仍然可以访问网站。

swulling

209 天前 via iPhone

支持未备案境外网站全部封禁。

lxcopenwrt

209 天前

cloudflare 应该优先考虑在 http3 上使用而 http2/1.1 上的 ECH 应只对非中国大陆 IP 开启，QUIC 已经用了几年至今还没看见 GFW 拿出对付 TCP 的 SNI 检测+reset 这样高效的应对措施（封 IP/端口除外）

AlphaTauriHonda

209 天前

https://crypto.cloudflare.com/cdn-cgi/trace
tls=TLSv1.3
sni=encrypted

https://v2ex.com/cdn-cgi/trace
tls=TLSv1.3
sni=plaintext

https://tls-ech.dev
You are using ECH. :)

V2EX 没开 ECH

@livid

bestsanmao

209 天前

@AlphaTauriHonda
为啥我测试您给出的三个地址
都是未开启啊

AlphaTauriHonda

209 天前 via iPhone

@bestsanmao 要先启用 ECH ，最好在电脑上测试。

@Jirajine 🧱大概要连夜升级了。

yyzh

209 天前

@bestsanmao 同.最新版 chrome 117.0.5938.132 三个都是未开启

Aloento

209 天前

@swulling #6 还国际互联网一片净土是吧（

Jirajine

209 天前 via Android

@AlphaTauriHonda #10 不需要升级，把 cloudflare-ech.com 添加到 sni reset 的列表就完事了。
对国内用户来说，这个标准最大的作用是针对你用的机场等代理服务商的二次审查。配合 doh ，配置正确的情况下（当然不包括机场提供的 clash 托管配置等普通用户正在使用的方式），现在你用的机场无法审计屏蔽启用了 ech 的网站（很多需要被屏蔽的网站都使用了 cloudflare ），也无法记录日志。

AlphaTauriHonda

209 天前

@yyzh
@bestsanmao
https://chromestatus.com/feature/6196703843581952
https://www.reddit.com/r/CloudFlare/comments/wp6yve/what_are_some_encrypted_client_hello_ech_esni
https://groups.google.com/a/chromium.org/g/blink-dev/c/KrPqrd-pO2M

1423

209 天前

免费用户 ECH 是 Enabled by default for Free zones.
挟广大免费站长用户为质, 奋力推进新技术, 算是比较好的策略, 能够极大推进技术普及

Chrome 当前如果配置了代理就禁用了 ECH, 未来应该会更新, 毕竟 DOH 和之后的 h2 连接都能走 socks5 代理, 没道理不支持
只是代理软件没办法按域名分流了
可以想见未来, 代理软件可以同时开启一个 DOH 服务器, 自动对 DOMAIN 规则的 Type65 做删除操作, 如此才能分流.
rule-bases dns ware, 比如 mosdns 也或许会支持对 Type65 做操作,比如删除 ipv6 ,删除 ipv4, 或删除 h3; 以避免浏览器发起尝试

1423

209 天前

当下要做的可以是
1. 将自用 DNS 服务器升级为支持 DOH 的软件, 就算是本地运行的也应当支持 DOH
2. 接受 DOH 普及的现实, 即使是内网, 也将浏览器 DNS 设置为本地 DOH 服务器
3. 密切关注 DNS 服务器更新, 以便自定义 Type65 记录