V2EX 不能用 Encrypted ClientHello(ECH)
AlphaTauriHonda · 2024-09-27 06:23:33 +08:00 · 9374 次点击这是一个创建于 387 天前的主题,其中的信息可能已经有所发展或是发生改变。
试了一下最新版的 Chrome 和 Firefox ,访问 V2EX 都没有开启 ECH 。
从这个网页测试
https://v2ex.com/cdn-cgi/trace
tls=TLSv1.3
sni=plaintext
打开这两个网站测试 ECH 都是启用的,不是浏览器的问题。
https://tls-ech.dev
https://defo.ie/ech-check.php
V2EX 没有开启 ECH ?
从这个网页测试
https://v2ex.com/cdn-cgi/trace
tls=TLSv1.3
sni=plaintext
打开这两个网站测试 ECH 都是启用的,不是浏览器的问题。
https://tls-ech.dev
https://defo.ie/ech-check.php
V2EX 没有开启 ECH ?
 |
1
huangtao728 2024-09-27 06:45:49 +08:00  1
因为 Cloudflare 尚未向 Free Plan 之外的用户推送 ECH ,V2EX 应该是 Enterprise
https://dns.google/query?name=www.v2ex.com&rr_type=HTTPS&ecs= 查询 HTTPS 记录可见没有 ECH 所需的公钥 |
 |
2
rick13 2024-09-27 08:31:30 +08:00
我的 chrome 在 defo 这个网站显示没有使用 ech
|
 |
3
spartacussoft 2024-09-27 08:31:50 +08:00
ech 已 g
|
 |
4
wyjson 2024-09-27 09:22:30 +08:00 via Android 1
@spartacussoft 25 号 cloudflare 又开放 ech 了
|
|
5
spartacussoft 2024-09-27 09:33:33 +08:00
@wyjson 是的,cf 总是先导。
难的是,ech 要从星星之火变成燎原,是一点机会都没有,都是 g 摇篮。 |
 |
6
AlphaTauriHonda OP |
 |
7
Livid MOD PRO 1
|
|
8
AlphaTauriHonda OP 1
|
|
9
Livid MOD PRO 1
@AlphaTauriHonda 嗯,我这里也看到了。期望对更多用户带来便利。
|
 |
10
Dk2014 2024-09-27 12:42:12 +08:00 via Android
v6 还是 plaintext
|
|
11
Dk2014 2024-09-27 12:45:13 +08:00 via Android
看来不是 v6 问题,换了几个节点都是 plaintext
手机端是不支持吗 |
 |
12
a33291 2024-09-27 13:03:27 +08:00
浏览器侧需要开启什么配置才行吗?比如 edge129
|
|
14
a33291 2024-09-27 13:09:21 +08:00
|
 |
15
delpo 2024-09-27 13:14:54 +08:00 1
感谢, 实测已经可以直连
但是有一个问题, 如果浏览器强制启用 doh 的话, 那么就意味着所有网站都要走 doh, 这样的话国内的网站访问就会变的很慢. 不知道有没有什么方法可以在不使用浏览器 doh 的情况下分流 dns? |
 |
16
dddedd 2024-09-27 13:37:06 +08:00
我的 CF 控制台里怎么没有开启 ECH 选项
|
|
17
AlphaTauriHonda OP @delpo 实在不行这样
104.20.47.180 v2ex.com 104.20.47.180 www.v2ex.com 104.20.47.180 cdn.v2ex.com 104.26.11.129 i.v2ex.co @Dk2014 手机端不支持 |
 |
18
busier 2024-09-27 13:57:45 +08:00 via iPhone
fl=xxxxxxx
h=v2ex.com ip=xxxxxxxxx ts=xxxxxxxxx visit_scheme=https uag=Mozilla/5.0 (iPhone; CPU iPhone OS 17_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4 Mobile/15E148 Safari/604.1 Ddg/17.4 colo=LAX sliver=none http=http/3 loc=US tls=TLSv1.3 sni=plaintext warp=off gateway=off rbi=off kex=xxxxxxxxx |
 |
19
geniusy 2024-09-27 14:14:02 +08:00
不需要浏览器开启 doh ,只要用的 cloudflare 的 doh 或者 dot 解析应该都行(我测试是这样),或许不用 cloudflare 的 dns 也行?
|
 |
20
YGHMXFAL 2024-09-27 14:20:57 +08:00 via Android
@AlphaTauriHonda #17
@Dk2014 #17 手机端怎么可能不支持,FireFox 在 Android 上有几款 fork 可以开[about:config],在里面设置一下[network.trr.*]这几个参数就可以了 |
 |
21
Lentin 2024-09-27 14:30:35 +08:00
@52acca #19 dns 支持解析 https 类型的记录就可以 dig https +short www.v2ex.com
|
|
22
delpo 2024-09-27 14:34:45 +08:00
|
 |
26
ztmzzz 2024-09-27 15:35:05 +08:00 via iPhone
cloudflare-ech.com 要设置为直连才能开启 ech 。不知道如何设置能实现走代理的情况下开启 ech
|
 |
27
docx 2024-09-27 15:35:43 +08:00 via iPhone
才打开?我上午测试的时候就能打开了
要有无污染 DNS ,Chrome flags 开启 ECH 不过 /cdn-cgi/trace 里面只有用 1.1.1.1 的 doh 才会显示 encrypted ,其他会显示 plaintext ,但是总之能打开 |
 |
28
yyzh 2024-09-27 15:43:58 +08:00 via Android 1
|
 |
29
azarasi 2024-09-27 16:38:27 +08:00
我这里显示 sni=encrypted
|
|
30
azarasi 2024-09-27 16:40:10 +08:00 1
我现在已经可以直连 V2EX 了
|
 |
31
bobryjosin 2024-09-27 16:45:37 +08:00 via Android 1
浏览器不需要开 doh ,只要上游路由器用 cloudflare 的 doh 就可以,客户端用 udp 请求 dns 也可以显示 encrypted
|
|
32
bobryjosin 2024-09-27 17:17:18 +08:00 2
做了个小实验,应该只要是没被污染的 dns 都可以 encrypted ,尝试了 google 和 cf 的 doh ,还有 udp 53 查询 8.8.8.8 和 1.1.1.1
 https://imgur.com/dmmjgXa https://imgur.com/nrGhA7H https://imgur.com/bhqhHLR |
 |
33
AKMYAN 2024-09-27 18:14:47 +08:00 via iPhone
很奇怪,在开启 1.1.1.1 的 doh 后,v2ex 就可以直连了,但是 sni 并没有加密
 |
 |
35
jr55475f112iz2tu 2024-09-27 19:00:10 +08:00
@delpo firefox 开 doh 才能开 ech ,似乎是开发者设计的
https://groups.google.com/a/mozilla.org/g/dev-platform/c/uv7PNrHUagA/m/BNA4G8fOAAAJ?pli=1 |
 |
36
goodokgood1 2024-09-27 20:28:52 +08:00 1
是不是 sni=encrypted 就是通过 ECH 连接的?
|
|
37
delpo 2024-09-27 21:12:33 +08:00
@czfy https://bugzilla.mozilla.org/show_bug.cgi?id=1500289
这个问题应该已经解决了, 我刷了几次, 发现不启用 doh 的时候也有 sni=encrypted 标志. 但是神奇的是多刷新几次就有可能会出现 plaintext, 我估计是 dns 请求的问题, 因为国内公共 dns 似乎都屏蔽了 HTTPS 记录. |
|
38
jr55475f112iz2tu 2024-09-30 22:56:28 +08:00
@delpo 太诡异了,前几天我回帖子的时候我 firefox ECH 还是正常的,今天看 ECH 就不生效了,都不知道发生了什么事
|
 |
40
Apllex 2024-10-03 04:56:57 +08:00
坐标白名单地区,SNI 头 cloudflare-ech.com 不在白名单里,所以用了无污染 DOH 之后还是打不开 ECH 后的域名,之后大面积推广了之后,GFW 只要把这个 SNI 一墙,那就没得玩了
|
|
41
delpo 2024-10-03 16:15:20 +08:00 1
@z919126592 有一个关键点在于, 国内的 dns 是否会屏蔽掉没有被墙的正常网站的 DNS HTTPS 记录(或者屏蔽记录里的 ech 字段).
目前来看, 未被墙的网站在公共 dns 或者运营商 dns 上也是可以查到 HTTPS 记录的, 在这种情况下, 由于 ech 在 ff 和 chrome 系浏览器已经默认开启了(edge 好像没有), 那么在存在 HTTPS 记录的情况下 ech 就会开启, 这时候如果 cloudflare-ech.com 这个网站被 sni 阻断的话, 就会导致未被墙的网站也无法访问, 这显然不是 GFW 希望看到的. 所以没法一刀切的阻断这个域名. |
 |
42
Cert 2024-10-06 01:43:09 +08:00 via Android
我用的是 Android chrome 浏览器,ISP 网络运营商是乌鲁木齐联通和乌鲁木齐广电,DNS 是在 chrome 浏览器里设置的 doh 模式 openDNS ,我这边实测下来是支持的。
fl=619f143 h=v2ex.com ip=2408:845a:11c:a526:b84f:8ff:fe31:c031 ts=1728150037.47 visit_scheme=https uag=Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Mobile Safari/537.36 colo=LAX sliver=none http=http/3 loc=CN tls=TLSv1.3 sni=encrypted warp=off gateway=off rbi=off kex=X25519 |
 |
43
taikobo 2024-10-15 09:14:59 +08:00
|
Select Language