服务器名称指示 SNI 为何不实现加密?

2023-02-27 16:31:15 +08:00
 bclerdx
服务器名称指示 SNI 为何不实现加密?以阻止墙的窥探?
2035 次点击
所在节点    宽带症候群
12 条回复
villivateur
2023-02-27 16:45:02 +08:00
eSNI 了解一下
NewYear
2023-02-27 17:03:50 +08:00
eSNI 实现了对域名的加密。
于是墙直接在加密建立连接时打断施法。

所以……你还有什么好建议吗,放心,墙的程序员也潜伏在 V2EX 并不是什么不可能的事情,可以加入到新的特征库中。
makelove
2023-02-27 17:06:47 +08:00
@NewYear 那万一 eSNI 流行后墙有本事把全世界的网站都 ban 了?
NewYear
2023-02-27 17:16:53 +08:00
@makelove

百度都能搜索到,2020 年就开始屏蔽了,我只是在叙述一件已经发生的事情。
INTEL2333
2023-02-27 18:17:42 +08:00
https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni
qwvy2g
2023-02-27 18:52:20 +08:00
@NewYear 是的,早期对 ipv6 的阻断就是 sni 阻断,后来火狐浏览器带了 esni ,但是很快发现只要加密 sni ,某个东西检测不到就直接阻断了。
bclerdx
2023-02-27 18:59:57 +08:00
@qwvy2g 太孙吧,检测到要阻止,检测不到也要阻止,变态!
AlphaTauriHonda
2023-02-27 19:11:16 +08:00
可以实现加密。用的是 Encrypted Client Hello (ECH),大部分浏览器都支持,不过很多网站不支持。v2ex.com 就不支持 ECH 。

用这个测试你有没有开启 ECH 。
https://www.cloudflare.com/ssl/encrypted-sni/
gamekiller0010
2023-02-27 23:44:17 +08:00
现在 esni 升级了,叫 ech 了
原来的 esni 已经被墙识别并阻断了
AlphaTauriHonda
2023-02-28 02:51:36 +08:00
@villivateur
@makelove
@INTEL2333
@qwvy2g
ESNI 被弃用了,现在浏览器支持的是 ECH 。

@bclerdx 有几个测试网站,可以测试 ECH 有没有开启成功。除此之外好像没有其他网站支持 ECH 。
https://crypto.cloudflare.com/cdn-cgi/trace
https://defo.ie
https://tls-ech.dev

Cloudflare 除了 crypto.cloudflare.com 应该都不支持 ECH ,所以 V2EX 也没有 ECH 。
访问 https://crypto.cloudflare.com/cdn-cgi/trace
如果开启成功会显示
tls=TLSv1.3
sni=encrypted
julyclyde
2023-02-28 09:01:26 +08:00
@makelove 当然有本事全 ban 了
互联网主权五个字,他们可不是说说而已
INTEL2333
2023-02-28 11:16:12 +08:00
@AlphaTauriHonda 要不你点进去链接看看里面什么内容...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/919575

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX