这是一个创建于 1240 天前的主题,其中的信息可能已经有所发展或是发生改变。
国内云的备案拦截生效么?
( 现在貌似是根据 解析 http header 获取 host ?)
 |
1
iBugOne 2021-06-24 02:06:25 +08:00  1
明文 HTTP 协议可以看 Host 头,常见的 TLS 加密可以看 SNI (明晚的域名),这也是现在拦截 HTTPS 依赖的东西。
TLS 1.3 新增的 ESNI 才是真正的全局加密,什么都看不到,跟 HTTP 版本没关系,HTTP/2 就已经要求加密了,但是 SNI 还是明文的,没有强制要求,HTTP/3 这方面没变化,只是改了数据传输的方式 |
 |
3
jingslunt 2021-06-24 11:27:12 +08:00
Firefox 中启用过 ESNI 的用户可能会注意到,ESNI 的 about:config 选项已经不存在了。虽然 Mozilla 建议用户等待 ECH 被默认启用,但有些用户可能会希望提前启用该功能。用户可以在 about:config 中通过将 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc 设置为 true 来实现,这将允许 Firefox 在支持 ECH 的服务器上使用 ECH 。
|
 |
4
hronro 2021-06-24 13:36:54 +08:00 via iPhone
据说某防火墙默认丢弃所有用了 ESNI 的包
|
 |
5
baobao1270 2021-06-24 22:02:45 +08:00
443 直接 Reset 好吧
|
 |
6
zhangheng21 2022-01-06 17:33:39 +08:00
QUIC 连接过程主要是复用 TLS1.3 handshake 协议进行握手,但是 handshake 消息通过 QUIC 自己的 QUIC packet 进行封装,QUIC packet 虽然宣称全部加密,但是在不同握手阶段,加密级别不一样,比如初始阶段也就是 initial packet 采用的协议版本固定的加密材料派生的密钥,意味着只要中间人懂这个版本的 QUIC ,对中间人来说 initial packet 没有任何机密性可言,ClientHello 和 ServerHello 消息采用的就是 initial packet 进行封装。initial packet 后续阶段的 packet 具备和 TLS1.3 消息等效的机密性。
至于“ http header 获取 host ” 没有这回事 |
Select Language