1. SNI阻断确实存在,和HTTP明文时代的阻断一样,即TCP RESET,服务器和用户都会收到,无解
2. 阻断需要根据域名和IP地址双重条件才会触发,即同一个域名,放在一些少见的IP地址上,不会被阻断
3. 对于常见的服务器提供商的网段,基本上是“宁可错杀不可放过”:即全外文网站与politics毫无关联的也会被阻断,比如介绍io_uring的https://unixism.net/loti/ ,但是网站的IP是Digital Ocean的,在itdog.cn和17ce上都可以得到类似的结果。
4. IP触发优先级高,即“被认证过的”IP地址下的多个域名都会触发SNI阻断,不论添加时间的前后。即"我认证这个IP不干净,上面的网站都不允许访问"。
5. “被认证过的”IP地址下如果使用无SNI来访问,比如openssl s_client命令,则一切正常。
常见的服务器提供商例如:大的比如阿里云,AWS,小一点的比如DMIT,XTOM都会轻易触发这个规则。
如有不正确的地方,请大家补充
