Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者,它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。
这意味着,每当用户访问 Cloudflare 上启用了 ECH 的网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。
Cloudflare 目前已经强制为所有免费计划的用户默认启用了 ECH ,且无法手动关闭。对于 GFW 来说,加密的 SNI 意味着,GFW 将不再能够通过域名劫持来阻止大陆用户访问国际互联网,仅剩的手段是 IP 封禁和 DNS 污染。
Cloudflare 所推行的 ECH 有着很强的特征,这意味着所有使用 ECH 的通信都很容易被识别,尽管 GFW 将不再能够通过 SNI 来识别用户的目标网站。这与此前并未得到推行的 ESNI 技术不同,留给 GFW 的选项并不多。
要么阻断所有 ECH 流量(其效果将等同于封禁整个 Cloudflare 网络,这意味着所有使用 Cloudflare 的网站将会被全数封锁。然而,Cloudflare 服务了全球约 20% 的互联网流量,贸然封禁它带来的后果是不可估量的);要么耗费大量资源,维护一个黑名单 IP 列表;要么对出境网络实施彻底的白名单制度。
ECH 的未来尚不明朗,但我们仍将拭目以待。
消息来源:@TestFlightCN
Cloudflare, ech, GFW, SNI
