V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
logAn7
V2EX  ›  Cloudflare

Cloudflare 宣布开始推行 Encrypted Client Hello 标准

  •  5
     
  •   logAn7 · 237 天前 · 7463 次点击
    这是一个创建于 237 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大佬们,这个有说法嘛?\ Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者,它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。 这意味着,每当用户访问 Cloudflare 上启用了 ECH 的网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。

    Cloudflare 目前已经强制为所有免费计划的用户默认启用了 ECH ,且无法手动关闭。对于 GFW 来说,加密的 SNI 意味着,GFW 将不再能够通过域名劫持来阻止大陆用户访问国际互联网,仅剩的手段是 IP 封禁和 DNS 污染。

    Cloudflare 所推行的 ECH 有着很强的特征,这意味着所有使用 ECH 的通信都很容易被识别,尽管 GFW 将不再能够通过 SNI 来识别用户的目标网站。这与此前并未得到推行的 ESNI 技术不同,留给 GFW 的选项并不多。

    要么阻断所有 ECH 流量(其效果将等同于封禁整个 Cloudflare 网络,这意味着所有使用 Cloudflare 的网站将会被全数封锁。然而,Cloudflare 服务了全球约 20% 的互联网流量,贸然封禁它带来的后果是不可估量的);要么耗费大量资源,维护一个黑名单 IP 列表;要么对出境网络实施彻底的白名单制度。

    ECH 的未来尚不明朗,但我们仍将拭目以待。

    消息来源:@TestFlightCN

    41 条回复    2024-05-07 17:45:17 +08:00
    nbndco
        1
    nbndco  
       237 天前
    黑名单 IP 无法维护,CF 使用 anycast ,IP 地址都是一样的。白名单同理。

    除了 DNS 污染只有全封
    Jirajine
        2
    Jirajine  
       237 天前 via Android   ❤️ 10
    这个有点像 domain front ,所有前置予都是 cloudflare-ech.com ,并且浏览器默认只会在使用 doh 的同时才会启用 ech ,把这个域名封禁了来强制客户端回退到明文的 client hello 和禁用 doh 应该会变成通用做法。
    毕竟需要审查流量的实体不止 GFW ,包括公司、企业等机构,以及你自家的网关等都有合理的需求。
    这标准增加了审查难度或许能让一些落后的国家放行原本要屏蔽的网站,但是中国这种审查最先进的国家是不可能妥协的,如果你把审查变得 impossible ,最终结果一定是国家把你联网变得 impossible 。
    leonshaw
        3
    leonshaw  
       237 天前 via Android
    互联网流量加密的最后一块拼图
    leo97
        4
    leo97  
       237 天前 via Android
    除了加速,我只感觉到快
    yinmin
        5
    yinmin  
       237 天前
    想多了。阻断所有 ECH 流量,客户端会自动降级到传统 SNI 明文模式,仍然可以访问网站。
    swulling
        6
    swulling  
       237 天前 via iPhone
    支持未备案境外网站全部封禁。
    lxcopenwrt
        7
    lxcopenwrt  
       237 天前
    cloudflare 应该优先考虑在 http3 上使用而 http2/1.1 上的 ECH 应只对非中国大陆 IP 开启,QUIC 已经用了几年至今还没看见 GFW 拿出对付 TCP 的 SNI 检测+reset 这样高效的应对措施(封 IP/端口除外)
    AlphaTauriHonda
        8
    AlphaTauriHonda  
       237 天前   ❤️ 1
    https://crypto.cloudflare.com/cdn-cgi/trace
    tls=TLSv1.3
    sni=encrypted

    https://v2ex.com/cdn-cgi/trace
    tls=TLSv1.3
    sni=plaintext

    https://tls-ech.dev
    You are using ECH. :)

    V2EX 没开 ECH

    @livid
    bestsanmao
        9
    bestsanmao  
       237 天前
    @AlphaTauriHonda
    为啥我测试您给出的三个地址
    都是未开启啊
    AlphaTauriHonda
        10
    AlphaTauriHonda  
       237 天前 via iPhone
    @bestsanmao 要先启用 ECH ,最好在电脑上测试。

    @Jirajine 🧱大概要连夜升级了。
    yyzh
        11
    yyzh  
       237 天前
    @bestsanmao 同.最新版 chrome 117.0.5938.132 三个都是未开启
    Aloento
        12
    Aloento  
       237 天前
    @swulling #6 还国际互联网一片净土是吧(
    Jirajine
        13
    Jirajine  
       237 天前 via Android
    @AlphaTauriHonda #10 不需要升级,把 cloudflare-ech.com 添加到 sni reset 的列表就完事了。
    对国内用户来说,这个标准最大的作用是针对你用的机场等代理服务商的二次审查。配合 doh ,配置正确的情况下(当然不包括机场提供的 clash 托管配置等普通用户正在使用的方式),现在你用的机场无法审计屏蔽启用了 ech 的网站(很多需要被屏蔽的网站都使用了 cloudflare ),也无法记录日志。
    1423
        15
    1423  
       237 天前
    免费用户 ECH 是 Enabled by default for Free zones.
    挟广大免费站长用户为质, 奋力推进新技术, 算是比较好的策略, 能够极大推进技术普及

    Chrome 当前如果配置了代理就禁用了 ECH, 未来应该会更新, 毕竟 DOH 和之后的 h2 连接都能走 socks5 代理, 没道理不支持
    只是代理软件没办法按域名分流了
    可以想见未来, 代理软件可以同时开启一个 DOH 服务器, 自动对 DOMAIN 规则的 Type65 做删除操作, 如此才能分流.
    rule-bases dns ware, 比如 mosdns 也或许会支持对 Type65 做操作,比如删除 ipv6 ,删除 ipv4, 或删除 h3; 以避免浏览器发起尝试
    1423
        16
    1423  
       237 天前
    当下要做的可以是
    1. 将自用 DNS 服务器升级为支持 DOH 的软件, 就算是本地运行的也应当支持 DOH
    2. 接受 DOH 普及的现实, 即使是内网, 也将浏览器 DNS 设置为本地 DOH 服务器
    3. 密切关注 DNS 服务器更新, 以便自定义 Type65 记录
    makelove
        17
    makelove  
       237 天前
    只要 DNS 污染解决不了其它都对墙只是伤个墙皮,普通用户照样上不了 v2
    slowmist
        18
    slowmist  
       237 天前
    SNI 伪装还有意义吗?
    TestName
        19
    TestName  
       237 天前 via Android
    @swulling 支持未备案的所有互联网发言全部有罪。原生之罪
    whileFalse
        20
    whileFalse  
       237 天前 via Android
    全封就完了 还不可估量...
    whileFalse
        21
    whileFalse  
       237 天前 via Android
    @lxcopenwrt cf 的目的是保护隐私 不是对抗中国政府
    Livid
        22
    Livid  
    MOD
       236 天前   ❤️ 1
    @AlphaTauriHonda 谢谢,刚才看了一下,是个需要申请的 Beta 功能。

    已经申请。

    AlphaTauriHonda
        23
    AlphaTauriHonda  
       236 天前 via iPhone
    @Livid 非常感谢,ECH 启用之后应该只需要 hosts 就能从🧱内访问 V2EX ,可以观察一下 CN IP 访客数量的变化:)。

    @slowmist ECH 把 SNI 直接加密了。

    @makelove 有道理。
    logAn7
        24
    logAn7  
    OP
       236 天前
    @AlphaTauriHonda #23 我现在就在直连 v 站,亲测可行
    zhangyz1997
        25
    zhangyz1997  
       236 天前
    @logAn7 直连 V 站应该是 V 站有 HTTPS Record, 浏览器支持的话可以直通 QUIC, 并非 ECH
    www.v2ex.com. 5m0s HTTPS 1 . alpn="h3,h2"
    AlphaTauriHonda
        26
    AlphaTauriHonda  
       236 天前 via iPhone
    @logAn7 我还是
    https://v2ex.com/cdn-cgi/trace
    tls=TLSv1.3
    sni=plaintext
    V2EX 的 ECH 还没生效,等几天吧。

    你可以试试 https://www.ptt.cc/cdn-cgi/trace
    https://lihkg.com/cdn-cgi/trace
    ptt.cc 的 ECH 生效了,Lihkg 还没有。

    @zhangyz1997 应该是这样的,测试一下 https://www.ptt.cc/cdn-cgi/trace
    zhangyz1997
        27
    zhangyz1997  
       236 天前
    @AlphaTauriHonda 都能自动升级为 QUIC, 其实我觉得现在 QUIC 也够用了, 文字网页也谈不上 QoS 得有多厉害
    ECH 也不知道为啥一定得有个 Outer SNI,回头墙不讲武德直接 RST 那个 Outer 的 SNI 就搞笑了
    SekiBetu
        28
    SekiBetu  
       236 天前
    后续会更新可以让用户手动关闭的,不然这么大一个运营商封了就没了
    adfs
        29
    adfs  
       236 天前 via Android
    adfs
        30
    adfs  
       236 天前 via Android
    为什么你们都没带 www
    daisyfloor
        31
    daisyfloor  
       236 天前
    @1423 我关闭代理 ECH 就启用了,就是加密的,开着代理 ECH 就没启用。
    br2049
        32
    br2049  
       231 天前
    @AlphaTauriHonda #26 今天发现 ptt 又变成 sni=plaintext 了
    br2049
        33
    br2049  
       231 天前
    测试了下 https://cloudflare-ech.com/cdn-cgi/trace 依旧可以访问 sni=encrypted
    但是其他网站 sni 已经变成原来的 plaintext
    br2049
        34
    br2049  
       231 天前
    猜测是 cloudflare 主动关掉了中国地区的 ech
    AlphaTauriHonda
        35
    AlphaTauriHonda  
       231 天前 via iPhone
    @br2049 Cloudflare 把 Free Plan 的 ECH 关了,大概是因为 ECH 出了问题。
    journalist
        36
    journalist  
       228 天前 via iPhone
    代理软件应该如何继续实现域名分流?用 fakeip 吗?
    journalist
        37
    journalist  
       228 天前 via iPhone
    另外基于域名的规则应该是绝大部分防火墙软硬件的基础功能吧,全都没法用了?
    lysS
        38
    lysS  
       226 天前
    加密 SNI? 墙一棒子给你打死
    orangie
        40
    orangie  
       57 天前
    昨天开始,cloudflare 无法访问了,不知道是否是这个原因,来挖坟。
    param
        41
    param  
       17 天前
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2170 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 15:59 · PVG 23:59 · LAX 08:59 · JFK 11:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.