V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AlphaTauriHonda
V2EX  ›  反馈

V2EX 不能用 Encrypted ClientHello(ECH)

  •  3
     
  •   AlphaTauriHonda · 51 天前 · 5320 次点击
    这是一个创建于 51 天前的主题,其中的信息可能已经有所发展或是发生改变。
    试了一下最新版的 Chrome 和 Firefox ,访问 V2EX 都没有开启 ECH 。
    从这个网页测试
    https://v2ex.com/cdn-cgi/trace
    tls=TLSv1.3
    sni=plaintext

    打开这两个网站测试 ECH 都是启用的,不是浏览器的问题。
    https://tls-ech.dev
    https://defo.ie/ech-check.php

    V2EX 没有开启 ECH ?
    44 条回复    2024-10-19 22:49:50 +08:00
    huangtao728
        1
    huangtao728  
       51 天前   ❤️ 1
    因为 Cloudflare 尚未向 Free Plan 之外的用户推送 ECH ,V2EX 应该是 Enterprise

    https://dns.google/query?name=www.v2ex.com&rr_type=HTTPS&ecs=

    查询 HTTPS 记录可见没有 ECH 所需的公钥
    rick13
        2
    rick13  
       51 天前
    我的 chrome 在 defo 这个网站显示没有使用 ech
    spartacussoft
        3
    spartacussoft  
       51 天前
    ech 已 g
    wyjson
        4
    wyjson  
       51 天前 via Android   ❤️ 1
    @spartacussoft 25 号 cloudflare 又开放 ech 了
    spartacussoft
        5
    spartacussoft  
       51 天前
    @wyjson 是的,cf 总是先导。
    难的是,ech 要从星星之火变成燎原,是一点机会都没有,都是 g 摇篮。
    AlphaTauriHonda
        6
    AlphaTauriHonda  
    OP
       51 天前 via iPhone
    @huangtao728 这么看应该是 V2EX 没开 ECH 。
    @Livid
    Livid
        7
    Livid  
    MOD
       51 天前   ❤️ 1
    @AlphaTauriHonda 谢谢提醒,原来这个功能已经正式上线了。

    已经打开。
    AlphaTauriHonda
        8
    AlphaTauriHonda  
    OP
       51 天前 via iPhone   ❤️ 1
    @Livid 非常感谢🙏
    果然还是 @好用
    https://v2ex.com/cdn-cgi/trace
    tls=TLSv1.3
    sni=encrypted
    Livid
        9
    Livid  
    MOD
       51 天前   ❤️ 1
    @AlphaTauriHonda 嗯,我这里也看到了。期望对更多用户带来便利。
    Dk2014
        10
    Dk2014  
       51 天前 via Android
    v6 还是 plaintext
    Dk2014
        11
    Dk2014  
       51 天前 via Android
    看来不是 v6 问题,换了几个节点都是 plaintext
    手机端是不支持吗
    a33291
        12
    a33291  
       51 天前
    浏览器侧需要开启什么配置才行吗?比如 edge129
    Livid
        13
    Livid  
    MOD
       51 天前   ❤️ 2
    @a33291 可能需要在浏览器里也开启 DoH 并选择 Cloudflare 作为 DoH 服务器。
    a33291
        14
    a33291  
       51 天前
    @Livid #13 感谢,但是测试发现没有什么效果
    设置 cf 为 dns 并且干净重启了浏览器,访问 op 提供的 3 个地址都还是 plaintext,玄学了
    环境:win11 edge 129
    delpo
        15
    delpo  
       51 天前   ❤️ 1
    感谢, 实测已经可以直连

    但是有一个问题, 如果浏览器强制启用 doh 的话, 那么就意味着所有网站都要走 doh, 这样的话国内的网站访问就会变的很慢. 不知道有没有什么方法可以在不使用浏览器 doh 的情况下分流 dns?
    dddedd
        16
    dddedd  
       51 天前
    我的 CF 控制台里怎么没有开启 ECH 选项
    AlphaTauriHonda
        17
    AlphaTauriHonda  
    OP
       51 天前
    @delpo 实在不行这样
    104.20.47.180 v2ex.com
    104.20.47.180 www.v2ex.com
    104.20.47.180 cdn.v2ex.com
    104.26.11.129 i.v2ex.co

    @Dk2014 手机端不支持
    busier
        18
    busier  
       51 天前 via iPhone
    fl=xxxxxxx
    h=v2ex.com
    ip=xxxxxxxxx
    ts=xxxxxxxxx
    visit_scheme=https
    uag=Mozilla/5.0 (iPhone; CPU iPhone OS 17_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4 Mobile/15E148 Safari/604.1 Ddg/17.4
    colo=LAX
    sliver=none
    http=http/3
    loc=US
    tls=TLSv1.3
    sni=plaintext
    warp=off
    gateway=off
    rbi=off
    kex=xxxxxxxxx
    52acca
        19
    52acca  
       51 天前
    不需要浏览器开启 doh ,只要用的 cloudflare 的 doh 或者 dot 解析应该都行(我测试是这样),或许不用 cloudflare 的 dns 也行?
    YGHMXFAL
        20
    YGHMXFAL  
       51 天前 via Android
    @AlphaTauriHonda #17

    @Dk2014 #17

    手机端怎么可能不支持,FireFox 在 Android 上有几款 fork 可以开[about:config],在里面设置一下[network.trr.*]这几个参数就可以了
    Lentin
        21
    Lentin  
       51 天前
    @52acca #19 dns 支持解析 https 类型的记录就可以 dig https +short www.v2ex.com
    delpo
        22
    delpo  
       51 天前
    @AlphaTauriHonda
    @52acca
    我测了一下, 好像 firefox 必须开 doh 才能有 ech, 但是 edge 可以用默认 dns
    superkkk
        23
    superkkk  
       51 天前
    开启代理后,h3 和 ech 会停用。直连+doh 才能启用 h3 和 ech
    @Dk2014
    @a33291
    YGHMXFAL
        24
    YGHMXFAL  
       51 天前 via Android
    @superkkk #23 [DOH]和[SOCKS5 远程解析域名]相冲突,关掉域名远程解析
    52acca
        25
    52acca  
       51 天前
    @superkkk 透明代理+cf 的 dns 确定有 ech ,但我 block 了 udp 443 端口,所以是 h2
    ztmzzz
        26
    ztmzzz  
       51 天前 via iPhone
    cloudflare-ech.com 要设置为直连才能开启 ech 。不知道如何设置能实现走代理的情况下开启 ech
    docx
        27
    docx  
       51 天前 via iPhone
    才打开?我上午测试的时候就能打开了

    要有无污染 DNS ,Chrome flags 开启 ECH

    不过 /cdn-cgi/trace 里面只有用 1.1.1.1 的 doh 才会显示 encrypted ,其他会显示 plaintext ,但是总之能打开
    yyzh
        28
    yyzh  
       51 天前 via Android   ❤️ 1
    @AlphaTauriHonda @superkkk 小米手机 chrome 浏览器实测开 vpn 可以 ech 没问题
    azarasi
        29
    azarasi  
       51 天前
    我这里显示 sni=encrypted
    azarasi
        30
    azarasi  
       51 天前   ❤️ 1
    我现在已经可以直连 V2EX 了
    bobryjosin
        31
    bobryjosin  
       51 天前 via Android   ❤️ 1
    浏览器不需要开 doh ,只要上游路由器用 cloudflare 的 doh 就可以,客户端用 udp 请求 dns 也可以显示 encrypted
    bobryjosin
        32
    bobryjosin  
       51 天前   ❤️ 2
    做了个小实验,应该只要是没被污染的 dns 都可以 encrypted ,尝试了 google 和 cf 的 doh ,还有 udp 53 查询 8.8.8.8 和 1.1.1.1

    https://imgur.com/dmmjgXa
    https://imgur.com/nrGhA7H
    https://imgur.com/bhqhHLR
    AKMYAN
        33
    AKMYAN  
       51 天前 via iPhone
    很奇怪,在开启 1.1.1.1 的 doh 后,v2ex 就可以直连了,但是 sni 并没有加密
    ![bd952a486a7d4a6f40ceab690f8f3a77.jpeg]( https://ice.frostsky.com/2024/09/27/bd952a486a7d4a6f40ceab690f8f3a77.jpeg)
    lns103
        34
    lns103  
       51 天前
    @AKMYAN 你走的是 http3(quic),墙暂时不支持拦截 quic
    czfy
        35
    czfy  
       51 天前
    goodokgood1
        36
    goodokgood1  
       51 天前   ❤️ 1
    是不是 sni=encrypted 就是通过 ECH 连接的?
    delpo
        37
    delpo  
       51 天前
    @czfy https://bugzilla.mozilla.org/show_bug.cgi?id=1500289
    这个问题应该已经解决了, 我刷了几次, 发现不启用 doh 的时候也有 sni=encrypted 标志. 但是神奇的是多刷新几次就有可能会出现 plaintext, 我估计是 dns 请求的问题, 因为国内公共 dns 似乎都屏蔽了 HTTPS 记录.
    czfy
        38
    czfy  
       47 天前
    @delpo 太诡异了,前几天我回帖子的时候我 firefox ECH 还是正常的,今天看 ECH 就不生效了,都不知道发生了什么事
    delpo
        39
    delpo  
       47 天前
    @czfy 我这里 ff 还是正常可用的, 有问题的话很大可能是 dns 问题, 获取不到 HTTPS 记录就会禁用 ech
    z919126592
        40
    z919126592  
       45 天前
    坐标白名单地区,SNI 头 cloudflare-ech.com 不在白名单里,所以用了无污染 DOH 之后还是打不开 ECH 后的域名,之后大面积推广了之后,GFW 只要把这个 SNI 一墙,那就没得玩了
    delpo
        41
    delpo  
       45 天前   ❤️ 1
    @z919126592 有一个关键点在于, 国内的 dns 是否会屏蔽掉没有被墙的正常网站的 DNS HTTPS 记录(或者屏蔽记录里的 ech 字段).
    目前来看, 未被墙的网站在公共 dns 或者运营商 dns 上也是可以查到 HTTPS 记录的, 在这种情况下, 由于 ech 在 ff 和 chrome 系浏览器已经默认开启了(edge 好像没有), 那么在存在 HTTPS 记录的情况下 ech 就会开启, 这时候如果 cloudflare-ech.com 这个网站被 sni 阻断的话, 就会导致未被墙的网站也无法访问, 这显然不是 GFW 希望看到的. 所以没法一刀切的阻断这个域名.
    Cert
        42
    Cert  
       42 天前 via Android
    我用的是 Android chrome 浏览器,ISP 网络运营商是乌鲁木齐联通和乌鲁木齐广电,DNS 是在 chrome 浏览器里设置的 doh 模式 openDNS ,我这边实测下来是支持的。

    fl=619f143
    h=v2ex.com
    ip=2408:845a:11c:a526:b84f:8ff:fe31:c031
    ts=1728150037.47
    visit_scheme=https
    uag=Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Mobile Safari/537.36
    colo=LAX
    sliver=none
    http=http/3
    loc=CN
    tls=TLSv1.3
    sni=encrypted
    warp=off
    gateway=off
    rbi=off
    kex=X25519
    terrytw
        43
    terrytw  
       33 天前
    @delpo
    @czfy

    有时生效有时失效的可能原因: https://v2ex.com/t/1080301#;
    Cert
        44
    Cert  
       28 天前 via Android
    @terrytw 很感谢你的解答,确实是解答了我之前很长时间的疑惑。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3012 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:43 · PVG 21:43 · LAX 05:43 · JFK 08:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.