Cloudflare 宣布开始推行 Encrypted Client Hello 标准

Encrypted Client Hello (ECH) 是 Encrypted SNI 的后继者，它加密了用于协商 TLS 握手的服务器名称指示 (SNI)。

这意味着，每当用户访问 Cloudflare 上启用了 ECH 的网站时，除了用户、Cloudflare 和网站所有者之外，没有人能够确定访问了哪个网站。

Cloudflare 目前已经强制为所有免费计划的用户默认启用了ECH，且无法手动关闭。对于GFW来说，加密的SNI意味着，GFW将不再能够通过域名劫持来阻止大陆用户访问国际互联网，仅剩的手段是IP封禁和DNS污染。

Cloudflare 所推行的ECH有着很强的特征，这意味着所有使用ECH的通信都很容易被识别，尽管GFW将不再能够通过SNI来识别用户的目标网站。这与此前并未得到推行的ESNI技术不同，留给GFW的选项并不多。

要么阻断所有ECH流量（其效果将等同于封禁整个Cloudflare网络，这意味着所有使用Cloudflare的网站将会被全数封锁。然而，Cloudflare 服务了全球约 20% 的互联网流量，贸然封禁它带来的后果是不可估量的）；要么耗费大量资源，维护一个黑名单IP列表；要么对出境网络实施彻底的白名单制度。

ECH的未来尚不明朗，但我们仍将拭目以待。

本文链接：https://www.sxlog.com/post/1664.html