網(wǎng)絡(luò)服務(wù)提供商 CloudFlare 今天發(fā)布博客宣布推出 ECH 標(biāo)準(zhǔn),宣布ECH 是推出一項(xiàng)新提議的標(biāo)準(zhǔn),目前已經(jīng)得到 Google Chrome 和 Mozilla Firefox 的準(zhǔn)可阻止蹤用麗江外圍(外圍預(yù)約)外圍女價(jià)格(電話微信199-7144-9724)提供一二線城市真實(shí)上門外圍上門外圍女,快速安排30分鐘到達(dá)支持 (需開啟實(shí)驗(yàn)性選項(xiàng),見結(jié)尾),徹底其他瀏覽器的運(yùn)營支持估計(jì)還需要一些時(shí)間,網(wǎng)站啟用 ECH 標(biāo)準(zhǔn)后也不會影響用戶的商追正常訪問,畢竟瀏覽器若是戶訪不支持 ECH 的話還可以降級到 SNI/ESNI 繼續(xù)訪問。
更新:CloudFlare 免費(fèi)版托管的問的網(wǎng)站網(wǎng)網(wǎng)站已經(jīng)被默認(rèn)開啟 ECH 且不支持關(guān)閉。(位于:控制臺、藍(lán)點(diǎn)網(wǎng)站、宣布SSL/TLS、推出邊緣證書、準(zhǔn)可阻止蹤用加密的徹底麗江外圍(外圍預(yù)約)外圍女價(jià)格(電話微信199-7144-9724)提供一二線城市真實(shí)上門外圍上門外圍女,快速安排30分鐘到達(dá)客戶端問候。)
什么是 ECH 標(biāo)準(zhǔn):
ECH 即 Encrypted Client Hello,這是商追 ESNI 的繼任者,主要目的是屏蔽用于協(xié)商 TLS 握手的服務(wù)器名稱指示 (即 SNI),也用來替代之前的加密服務(wù)器名稱指示 (ESNI)。
網(wǎng)絡(luò)運(yùn)營商如何嗅探用戶訪問:
在 HTTP 時(shí)代,網(wǎng)絡(luò)運(yùn)營商有多種方式進(jìn)行嗅探以搜尋用戶訪問的網(wǎng)站,這是因?yàn)?HTTP 沒有進(jìn)行加密,網(wǎng)絡(luò)運(yùn)營商可以輕松劫持 HTTP 流量并在流量里插入垃圾信息,包括但不限于將用戶下載的應(yīng)用替換為推廣應(yīng)用、在用戶訪問的任意網(wǎng)站里插入流量套餐或者廣告信息。
最近十年 HTTP 快速向 HTTPS 過渡,HTTPS 對網(wǎng)站內(nèi)容進(jìn)行了加密,運(yùn)營商無法再隨意劫持流量,但這并不意味著運(yùn)營商無法再嗅探用戶訪問哪些網(wǎng)站。
當(dāng)我們使用瀏覽器訪問某個(gè)地址時(shí),DNS 請求也會泄露地址、SNI 信息也會暴露域名,于是業(yè)界又推出 DNS over HTTPS/TLS,用來加密 DNS 查詢請求。
然而 SNI 問題仍然沒有解決,因?yàn)?SNI 信息仍然會暴露給網(wǎng)絡(luò)運(yùn)營商。
ECH 是如何解決 SNI 信息暴露的:
ECH 的 ClientHello 消息被分成兩個(gè)部分,內(nèi)部部分和外部部分,外部包含的是非敏感信息,例如使用的加密類型和 TLS 版本,內(nèi)部部分則包含已經(jīng)加密后的內(nèi)部 SNI。
在 CloudFlare 托管的網(wǎng)站若啟用 ECH 后,則外部部分使用的是 cloudflare-ech.com,這是個(gè)共享的 SNI,運(yùn)營商最多只能知道用戶訪問的網(wǎng)站使用的是 CloudFlare 和 ECH 標(biāo)準(zhǔn),并不知道具體的網(wǎng)站域名。
而內(nèi)部包含隱私的 SNI 信息,則由 CloudFlare 進(jìn)行加密和解密,所以運(yùn)營商無法獲知信息。
目前 ECH 已經(jīng)得到量大主流瀏覽器支持:Google Chrome 和 Mozilla Firefox,而 Chromium 的支持也意味著其他基于 Chromium 的瀏覽器多數(shù)也支持 ECH,這有助于快速提高互聯(lián)網(wǎng)的隱私安全。
從今天起,CloudFlare 付費(fèi)用戶將可以在控制臺開啟 ECH 功能,接下來幾周該功能會擴(kuò)展到免費(fèi)用戶,到時(shí)候所有托管在 CloudFlare 的網(wǎng)站都可以使用 ECH。
瀏覽器支持說明:
Chrome 請開啟此實(shí)驗(yàn)性選項(xiàng):chrome://flags/#encrypted-client-hello (注:Chrome 117 + 默認(rèn)啟用)
Firefox 請開啟此實(shí)驗(yàn)性選項(xiàng):about:config 開啟 network.dns.echconfig.enabled
Safari:將提供支持