Cloudflare 开始灰度给所有域名启用 ECH

moe

2月前

本帖最后由 haozi 于 2024-9-24 21:22 编辑

去年Cloudflare曾灰度启用ECH一段时间，但是很快就下线了。
最近它们又开始给所有域名灰度启用ECH。

如何判断域名是否使用ECH？
访问域名+/cdn-cgi/trace，如果返回中有sni=encrypted则说明已使用ECH。
例如：https://weavatar.cc/cdn-cgi/trace

如果显示为sni=plaintext，则表示未使用ECH，目前还在灰度，似乎跟节点有关。
目前所有域名都使用固定的sni，值为cloudflare-ech.com
ECH草案目前的规定，如果ECH连接被阻止，则客户端不得在没有ECH的情况下重试（也就是不能像以前ESNI那样精准封锁了）。

https://github.com/net4people/bbs/issues/393

然后大墙一口气端了呗

我是老王发表于 2024-9-24 20:38
然后大墙一口气端了呗

是有这种可能，如果把cloudflare-ech.com端了所有域名都gg了

和节点有关 h=weavatar.cc visit_scheme=https colo=LHR sliver=none http=http/2 loc=CN tls=TLSv1.3 sni=plaintext warp=off gateway=off rbi=off kex=X25519

还好，我的还没加

tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off

无所谓，如果真想一锅端早端了，cloudflare的IP范围都是公开的，现在也只是间歇性墙。

ass 发表于 2024-9-24 20:59
无所谓，如果真想一锅端早端了，cloudflare的IP范围都是公开的，现在也只是间歇性墙。 …

大墙就是没想一锅端，所以，根据sni来选择性封锁
现在把sni加密了，墙没办法了，那就只能全部封了

icon 发表于 2024-9-24 21:03
大墙就是没想一锅端，所以，根据sni来选择性封锁
现在把sni加密了，墙没办法了，那就只能全部封了 …

复制代码

把这个reset就行了

一墙毁所有，还是算了

ech是啥