19

Cloudflare 开始部署 TLS ECH

 2 years ago
source link: https://www.v2ex.com/t/807682
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

V2EX  ›  DNS

Cloudflare 开始部署 TLS ECH

  leiakun · 6 小时 36 分钟前 · 580 次点击
ECH 真的能够解决 SNI 屏蔽问题吗?会不会防火墙直接把 ECH 流量给屏蔽掉,我看文章说 ECH 流量还是很明显的。还请大神解答,这个 ECH 是怎么和 DoH 配合隐藏 SNI 的?https://blog.cloudflare.com/handshake-encryption-endgame-an-ech-update/
2 条回复    2021-10-14 04:40:42 +08:00

eason1874   5 小时 20 分钟前   3

发送请求之前需要先知道域名对应的服务器 IP,常规 DNS 是明文的,会泄露解析记录。如果泄露了解析域名,接近泄露 SNI 了。所以保护 SNI 首先要用加密 DNS,而 DNS over HTTPS 是其一,确保访问的域名不会泄露。

ECH 是 ESNI 的改进版。ESNI 只能通过 DNS TXT 记录分发证书,而 DNS 可能被缓存(不利于证书定期更新),也不灵活,因为只有一个记录,多个服务器节点需要确保用同一个证书,否则对不上。

ECH 在 ESNI 的基础上,添加了服务器分发证书来兜底。如果 DNS 记录里的证书加密的内容解不开,就提供服务器自己的证书给客户端去重试。ECH 有两个 ClientHello,一个加密的有真实的 SNI,一个明文的有 innocuous SNI (好像是用于失败验证和忽悠中间人?不太懂这个 innocuous 的意思)


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK