#吐槽
ECH 还是太试验状态了, 除了 Cloudflare 之外 Akamai 和 AWS 都没想法, 更别说其他供应商了, Cloudflare 自己也给高级计划默认禁用了 ECH, 现在就像 Cloudflare 在用免费客户测试这个功能, 免费计划默认开启, 无法禁用.
反制的办法也很多, 除了对 ECH 的那个还是要用的那个通用 SNI 下手. DNS 层面也能直接对 HTTPS 记录动手, Cloudflare 也针对有流量控制需求的企业给出了具体的办法:
> https://developers.cloudflare.com/ssl/edge-certificates/ech/#enterprise-network-applicability
ECH 只是个对 TLS 1.3 的隐私改进, 不是给抗审查设计的. 如果不使用大型供应商提供的服务去把那个通用 Client Hello 隐藏进他们的 SNI 里面, 那独立部署实现 ECH 其实只是给 SNI 找了个替身, 就像客户端本地的 SNI Proxy 一样, 现在变成了服务端配置, 而且还需要 DNS, HTTP 客户端和 Web 服务器共同努力, 感觉会比 QUIC 还难推进. 真的实施, 供应商完全可以为不同客户实行 KYC 后根据客户的特征分配不同的通用 SNI 标志, 免费用户一个 SNI, 付费用户一个 SNI, 欧盟用户又一个 SNI.
via Nostr@cxplay
ECH 还是太试验状态了, 除了 Cloudflare 之外 Akamai 和 AWS 都没想法, 更别说其他供应商了, Cloudflare 自己也给高级计划默认禁用了 ECH, 现在就像 Cloudflare 在用免费客户测试这个功能, 免费计划默认开启, 无法禁用.
反制的办法也很多, 除了对 ECH 的那个还是要用的那个通用 SNI 下手. DNS 层面也能直接对 HTTPS 记录动手, Cloudflare 也针对有流量控制需求的企业给出了具体的办法:
> https://developers.cloudflare.com/ssl/edge-certificates/ech/#enterprise-network-applicability
ECH 只是个对 TLS 1.3 的隐私改进, 不是给抗审查设计的. 如果不使用大型供应商提供的服务去把那个通用 Client Hello 隐藏进他们的 SNI 里面, 那独立部署实现 ECH 其实只是给 SNI 找了个替身, 就像客户端本地的 SNI Proxy 一样, 现在变成了服务端配置, 而且还需要 DNS, HTTP 客户端和 Web 服务器共同努力, 感觉会比 QUIC 还难推进. 真的实施, 供应商完全可以为不同客户实行 KYC 后根据客户的特征分配不同的通用 SNI 标志, 免费用户一个 SNI, 付费用户一个 SNI, 欧盟用户又一个 SNI.
via Nostr@cxplay
Cloudflare Docs
ECH Protocol · Cloudflare SSL/TLS docs
ECH stands for Encrypted Client Hello. It is a protocol extension in the context of Transport Layer Security (TLS). ECH encrypts part of the handshake and masks the Server Name Indication (SNI) that is used to negotiate a TLS session. This means that whenever…
