|
網(wǎng)絡(luò)服務提供商 CloudFlare 今天發(fā)布博客宣布推出 ECH 標準,宣布ECH 是推出一項新提議的標準,目前已經(jīng)得到 Google Chrome 和 Mozilla Firefox 的準可阻止蹤用深圳龍華區(qū)(全套服務)上門服務崴信159+8298+6630提供外圍女小姐上門服務快速安排面到付款支持 (需開啟實驗性選項,見結(jié)尾),徹底其他瀏覽器的運營支持估計還需要一些時間,網(wǎng)站啟用 ECH 標準后也不會影響用戶的商追正常訪問,畢竟瀏覽器若是戶訪不支持 ECH 的話還可以降級到 SNI/ESNI 繼續(xù)訪問。 更新:CloudFlare 免費版托管的問的網(wǎng)站網(wǎng)網(wǎng)站已經(jīng)被默認開啟 ECH 且不支持關(guān)閉。(位于:控制臺、藍點網(wǎng)站、宣布SSL/TLS、推出邊緣證書、準可阻止蹤用加密的徹底深圳龍華區(qū)(全套服務)上門服務崴信159+8298+6630提供外圍女小姐上門服務快速安排面到付款客戶端問候。)
什么是 ECH 標準: ECH 即 Encrypted Client Hello,這是商追 ESNI 的繼任者,主要目的是屏蔽用于協(xié)商 TLS 握手的服務器名稱指示 (即 SNI),也用來替代之前的加密服務器名稱指示 (ESNI)。 網(wǎng)絡(luò)運營商如何嗅探用戶訪問: 在 HTTP 時代,網(wǎng)絡(luò)運營商有多種方式進行嗅探以搜尋用戶訪問的網(wǎng)站,這是因為 HTTP 沒有進行加密,網(wǎng)絡(luò)運營商可以輕松劫持 HTTP 流量并在流量里插入垃圾信息,包括但不限于將用戶下載的應用替換為推廣應用、在用戶訪問的任意網(wǎng)站里插入流量套餐或者廣告信息。 最近十年 HTTP 快速向 HTTPS 過渡,HTTPS 對網(wǎng)站內(nèi)容進行了加密,運營商無法再隨意劫持流量,但這并不意味著運營商無法再嗅探用戶訪問哪些網(wǎng)站。 當我們使用瀏覽器訪問某個地址時,DNS 請求也會泄露地址、SNI 信息也會暴露域名,于是業(yè)界又推出 DNS over HTTPS/TLS,用來加密 DNS 查詢請求。 然而 SNI 問題仍然沒有解決,因為 SNI 信息仍然會暴露給網(wǎng)絡(luò)運營商。 ECH 是如何解決 SNI 信息暴露的: ECH 的 ClientHello 消息被分成兩個部分,內(nèi)部部分和外部部分,外部包含的是非敏感信息,例如使用的加密類型和 TLS 版本,內(nèi)部部分則包含已經(jīng)加密后的內(nèi)部 SNI。 在 CloudFlare 托管的網(wǎng)站若啟用 ECH 后,則外部部分使用的是 cloudflare-ech.com,這是個共享的 SNI,運營商最多只能知道用戶訪問的網(wǎng)站使用的是 CloudFlare 和 ECH 標準,并不知道具體的網(wǎng)站域名。 而內(nèi)部包含隱私的 SNI 信息,則由 CloudFlare 進行加密和解密,所以運營商無法獲知信息。 目前 ECH 已經(jīng)得到量大主流瀏覽器支持:Google Chrome 和 Mozilla Firefox,而 Chromium 的支持也意味著其他基于 Chromium 的瀏覽器多數(shù)也支持 ECH,這有助于快速提高互聯(lián)網(wǎng)的隱私安全。 從今天起,CloudFlare 付費用戶將可以在控制臺開啟 ECH 功能,接下來幾周該功能會擴展到免費用戶,到時候所有托管在 CloudFlare 的網(wǎng)站都可以使用 ECH。 瀏覽器支持說明: Chrome 請開啟此實驗性選項:chrome://flags/#encrypted-client-hello (注:Chrome 117 + 默認啟用) Firefox 請開啟此實驗性選項:about:config 開啟 network.dns.echconfig.enabled Safari:將提供支持 |
