Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者,它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。
这意味着,每当用户访问 Cloudflare 上启用了 ECH 的网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。
Cloudflare 目前已经强制为所有免费计划的用户默认启用了ECH,且无法手动关闭。对于GFW来说,加密的SNI意味着,GFW将不再能够通过域名劫持来阻止大陆用户访问国际互联网,仅剩的手段是IP封禁和DNS污染。
Cloudflare 所推行的ECH有着很强的特征,这意味着所有使用ECH的通信都很容易被识别,尽管GFW将不再能够通过SNI来识别用户的目标网站。这与此前并未得到推行的ESNI技术不同,留给GFW的选项并不多。
要么阻断所有ECH流量(其效果将等同于封禁整个Cloudflare网络,这意味着所有使用Cloudflare的网站将会被全数封锁。然而,Cloudflare 服务了全球约 20% 的互联网流量,贸然封禁它带来的后果是不可估量的);要么耗费大量资源,维护一个黑名单IP列表;要么对出境网络实施彻底的白名单制度。
ECH的未来尚不明朗,但我们仍将拭目以待。
参见 Cloudflare官方博客
投稿:@ZaiHuaBot
频道:@TestFlightCN
