tlanyan
·
ECH隐私保护与SNI白名单
💡
原文中文,约3000字,阅读约需8分钟。
📝
内容提要
Cloudflare支持加密客户端Hello(ECH)标准,以防止网络窃听用户正在访问的网站。ECH是ESNI的继任者,可以隐藏TLS握手的服务器名称指示(SNI),从而保护用户隐私。ECH依赖于新类型的DNS记录,并且依赖于DNS over HTTPS(DoH)协议。
🎯
关键要点
- Cloudflare宣布支持Encrypted Client Hello(ECH)标准,以保护用户隐私。
- ECH是ESNI的继任者,能够隐藏TLS握手中的服务器名称指示(SNI)。
- ECH依赖新型DNS记录和DNS over HTTPS(DoH)协议。
- 互联网早期重视可用性,忽视安全和隐私,导致用户数据泄漏。
- SSL和TLS的引入提高了互联网的隐私和安全性,但仍存在SNI泄漏问题。
- DoH协议的出现解决了DNS查询的明文泄漏问题。
- ECH通过将Client Hello消息拆分,保护真实的SNI信息。
- Cloudflare的ECH支持对免费用户自动开启,其他CDN需等待软件支持。
- Chrome和Firefox浏览器已开始实验性支持ECH。
- SNI白名单限制用户访问特定网站,与ECH的隐私保护形成对比。
- Reality协议通过伪造SNI绕过SNI白名单限制,是一种技术创新。
- ECH仅解决用户与服务器之间的隐私问题,其他隐私泄漏仍需关注。
🏷️
标签
➡️
