这是一个创建于 429 天前的主题,其中的信息可能已经有所发展或是发生改变。
近期 cloudflare 为 free 用户逐步开启了 ECH, V2 也已经开启, 有人在讨论 https://v2ex.com/t/1076154
有一个自己遇到的小问题, 提示各位一下
DNS 是依赖 HTTPS 记录(type 65)来提供服务端的 public key 和 outer SNI 的, 比如 v2 的 DNS 记录:
https://dns.google/query?name=v2ex.com&rr_type=HTTPS&ecs=
可以看到包含ech=AEX+DQBB4gAgACDmyFU4oeqVH/jutZB8Nu5Ve9dGQ5OnELvHv/Z7yR+ZbgAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA=
对于 chrome 来说, 即使上游是 UDP 的 DNS, 只要可以提供正确的 HTTPS 记录, 并且 chrome 自身开启了 ECH, 服务端开启了 ECH, 这三个条件满足, 就可以使用 ECH
那么这里有一个巨大的坑, 就是 cache....
dnsmasq 旧版本只能缓存常见类型如 A 和 AAAA, 只有在最新版 2.90 才提供了缓存其他类型记录的选项, 并且默认是不开启的, 所以后果就是, 第一次访问的时候, 你会使用 ECH, 但是如果再次访问, 命中了 DNS 缓存, 返回记录不再包含 HTTPS 记录, 就不再使用 ECH 了
所以如果你用了 dnsmasq 作为本地 DNS forwarder(比如 Openwrt), 那么请在 conf 里加上--cache-rr=ANY或者自己手动加上多行--cache-rr=来设置所需的缓存类型
 | 1 dzdh 2024-10-15 10:08:10 +08:00  1 想知道这个 ech 是的公钥私钥怎么生成的 nginx 需要怎么配置 其他语言如 go/rust 做 server 怎么适配。 |
 | 2 taikobo OP @dzdh 技术细节请参照 https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ 简单介绍请见 https://blog.cloudflare.com/announcing-encrypted-client-hello/ nginx 好像已经支持了, 细节未知, 因为我不用 go 的话, Google 那边的 Roland 在写, 1.24 会上 rust 不清楚 |
 | 3 dreamk 2024-10-15 21:56:12 +08:00 |
 | 4 baraja 2024-10-16 14:07:24 +08:00 我测下来结果是 linux 下,firefox 和 chrome 不开 doh 依然有 ech 。 然而 windows 下,firefox 可以不开 doh ,chrome 不开 doh 就没有 ech ,挺奇怪的 |
 | 5 Cusmate 2024-10-16 14:47:05 +08:00 如果 udp dns 返回有 HTTPS 记录并且有 ECH 数据但是 A 记录和 AAAA 记录是被污染的 IP 地址,Chrome 能打开网站吗? |
 | 6 yxmyxmyyy 2024-10-17 01:09:12 +08:00 firefox 能直接域名访问非标准端口,而 chrome 还不行,两个都支持用 udp 的 dns 获取 https 记录 |
 | 7 jr55475f112iz2tu 2024-10-18 15:41:25 +08:00 在客户端需要什么特别的配置吗?因为我目前只是在 firefox 上启用了 DoH ,没有在系统层启用 |
 | 8 Coelacanthus 2024-10-20 20:58:56 +08:00 @baraja Firefox 以前也是 ECH requires DoH 的,被人骂了大概有个五年多吧,最后改了。 https://bugzilla.mozilla.org/show_bug.cgi?id=1500289 |
| 10 taikobo OP @Cusmate 那当然不行了, 你 IP 都是错的, client hello 加密了有啥个用...就好比你快递包裹用了个保险箱, 但是送错了地址... |
| 12 taikobo OP 用 caddy 可以 spoof 自己的网站 outer SNI 为 cloudflare-ech.com 具体请自行研究 |
Select Language