亲测发现,对于不使用 Cloudflare NS 的自定义主机域名启用 ECH 只需要复制回退源( Fallback Origin)的 HTTPS 记录(包含 ech=AEX+....)添加到自定义域名即可开启 SNI 加密。 操作: 1 查询回退源 https 记录 dig +short your-fallback-origin.com https 2 在 dnspod 、阿里云解析... 添加 HTTPS 记录。 3 校验:打开 /cdn-cgi/trace,看到 sni=encrypted ( ech 不支持浏览器使用透明代理) 其他问题: ech=AEX+.... 包含一串未知内容 base64 编码的二进制。同一个 cloudflare 接入域名下的每个主机的 ech 值完全一至。猜测跟主机名没关系,应该是通用的。