firefox nightly 99 已支持 ECH

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

这是一个创建于 798 天前的主题，其中的信息可能已经有所发展或是发生改变。

测试地址 https://crypto.cloudflare.com/cdn-cgi/trace/
浏览器设置
- 开启 Doh
- about:config network.trr.mode = 3
- about:config network.dns.echconfig.enabled = true
- about:config network.dns.http3_echconfig.enabled = true
- about:config network.dns.use_https_rr_as_altsvc = true

22 条回复 • 2022-12-14 14:56:53 +08:00

hronro

2022-02-11 11:24:28 +08:00

盲猜一波，ECH 在国内的待遇估计会和 ESNI 一样

ComTNT

2022-02-11 11:27:53 +08:00

@hronro 短期内应该不会

Mitt

2022-02-11 11:35:58 +08:00

@hronro #1 主要是 ESNI 还是有特征和指纹可以确定和阻止，ECH 看描述的话行为跟传统加密 TCP 差不多了，应该没那么容易识别了

czfy

2022-02-11 12:07:11 +08:00

现在我看到 crypto 就想起加密货币...........
感觉是病，得治

crisrock

2022-02-11 15:30:12 +08:00

奇怪我照着做了，sni 还是 plaintext

ComTNT

2022-02-11 15:40:25 +08:00

@crisrock

ComTNT

2022-02-11 15:44:25 +08:00

@crisrock
1.到 about:networking#dnslookuptool 手动解析下 crypto.cloudflare.com ，看有没有 ech 公钥，如果没有换 doh
2.到 about:networking#dns 看下 crypto.cloudflare.com 域名的 trr 列是否为 TRUE ，如果不是说明没有走 svcb/https 解析，network.trr.mode = 3 未生效

Sekai

2022-02-13 02:03:43 +08:00

随手贴个 https://download-installer.cdn.mozilla.net/pub/firefox/nightly/latest-mozilla-central/firefox-99.0a1.en-US.win64.installer.exe

crisrock

2022-02-13 10:40:34 +08:00 via iPhone

@ComTNT 谢谢啊我回头试一下

F0nebula

2022-02-13 19:22:21 +08:00

全平台全语言下载地址
https://www.mozilla.org/zh-CN/firefox/all/

johnsonwil

2022-02-13 19:45:50 +08:00

G F W 目前有策略，也就是在敏感时期到来时封锁大量海外加密全端口 TCP 流量。
最容易被封锁的是

1.非常用端口
2.TCP/UDP 并行传输
3.有疑似 FQ 行为的境内 IP 连接的，并且一旦连接之后，该 IP 境内的流量全部 /部分转为境外流量的。

1041412569

2022-02-14 16:34:49 +08:00

测试成功，但除测试地址外，其他托管在 cloudflare 的域名还是 plaintext 。。。

ComTNT

2022-02-14 17:22:14 +08:00

@1041412569 这是 cloudflare 开放的测试服务器，其他站点还未开放，参考 https://community.cloudflare.com/t/ecrypted-client-hello-ech-enabled-regions-ips/339046/6 ，
检测服务器是否支持 ech 也很简单，通过 svbhttps 查询是否有 echconfig 配置，有则支持 ech ，https://dns.google/resolve?name=crypto.cloudflare.com&type=https
其他 cloudflare 域名目前是没有 echconfig 的

crisrock

2022-02-15 15:07:35 +08:00

@ComTNT
1. about:networking#dnslookuptool 手动解析 crypto.cloudflare.com 得到如下：HTTP RRs
1 crypto.cloudflare.com (alpn="http/1.1,h2" ipv4hint="162.159.137.85, 162.159.138.85" echConfig="0046FE0D004………………" ipv6hint="2606:4700:7::a29f:8955, 2606:4700:7::a29f:8a55" )
2. about:networking#dns 下 crypto.cloudflare.com 域名的 trr 列是 TRUE 。

可是访问 https://crypto.cloudflare.com/cdn-cgi/trace/ 得到如下信息：
fl=4f482
h=crypto.cloudflare.com
ip=xxxxxx
ts=1644908572.571
visit_scheme=https
uag=Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
colo=SJC
http=http/2
loc=CN
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off

sni 还是 plaintext

ComTNT

2022-02-15 15:40:11 +08:00

@crisrock 那就不知道了，nightly 非正式版，可能有兼容性的设置没考虑到

crisrock

2022-02-15 15:50:20 +08:00

@ComTNT 嗯有可能也许是我 win 平台的问题再等看看

CharlesGray

2022-04-27 18:20:23 +08:00

老哥我也是 macOS 平台，按照你这样设置没有成功啊，是不是要清空 cookie 什么的？

ComTNT

2022-04-27 19:09:44 +08:00

@CharlesGray 我最新版本也不行了，还不清楚原因

CharlesGray

2022-04-27 22:13:09 +08:00

@ComTNT 老版本可以？我试试二月的那个去

CharlesGray

2022-04-27 22:18:14 +08:00

@ComTNT 老版也不行了，不懂为啥，算了吧，等 ech 全面铺开了再说

shikkoku

2022-05-15 15:46:09 +08:00

我用 Firefox 100 商店版 sni=encrypted

liuidetmks

2022-12-14 14:56:53 +08:00

mac firefox 108.0 sni=plaintext

设置的 dns https://doh.pub/dns-query