Cloudflare 宣布开始推行 Encrypted Client Hello 标准

查看 163|回复 4
作者:logAn7   
大佬们,这个有说法嘛?\
Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者,它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。
这意味着,每当用户访问 Cloudflare 上启用了 ECH 的网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。
Cloudflare 目前已经强制为所有免费计划的用户默认启用了 ECH ,且无法手动关闭。对于 GFW 来说,加密的 SNI 意味着,GFW 将不再能够通过域名劫持来阻止大陆用户访问国际互联网,仅剩的手段是 IP 封禁和 DNS 污染。
Cloudflare 所推行的 ECH 有着很强的特征,这意味着所有使用 ECH 的通信都很容易被识别,尽管 GFW 将不再能够通过 SNI 来识别用户的目标网站。这与此前并未得到推行的 ESNI 技术不同,留给 GFW 的选项并不多。
要么阻断所有 ECH 流量(其效果将等同于封禁整个 Cloudflare 网络,这意味着所有使用 Cloudflare 的网站将会被全数封锁。然而,Cloudflare 服务了全球约 20% 的互联网流量,贸然封禁它带来的后果是不可估量的);要么耗费大量资源,维护一个黑名单 IP 列表;要么对出境网络实施彻底的白名单制度。
ECH 的未来尚不明朗,但我们仍将拭目以待。
消息来源:@TestFlightCN

Cloudflare, ech, GFW, SNI

nbndco   
黑名单 IP 无法维护,CF 使用 anycast ,IP 地址都是一样的。白名单同理。
除了 DNS 污染只有全封
Jirajine   
这个有点像 domain front ,所有前置予都是 cloudflare-ech.com ,并且浏览器默认只会在使用 doh 的同时才会启用 ech ,把这个域名封禁了来强制客户端回退到明文的 client hello 和禁用 doh 应该会变成通用做法。
毕竟需要审查流量的实体不止 GFW ,包括公司、企业等机构,以及你自家的网关等都有合理的需求。
这标准增加了审查难度或许能让一些落后的国家放行原本要屏蔽的网站,但是中国这种审查最先进的国家是不可能妥协的,如果你把审查变得 impossible ,最终结果一定是国家把你联网变得 impossible 。
leonshaw   
互联网流量加密的最后一块拼图
leo97   
除了加速,我只感觉到快
您需要登录后才可以回帖 登录 | 立即注册

返回顶部