CloudFlare宣布推出ECH标准 可以彻底阻止运营商追踪用户访问的网站 – 蓝点网 - {$web_name} ECH 是一项新提议的规范

联网办事提供商 CloudFlare 今日亮相博客亮相启动 ECH 规范，ECH 是一项新提议的规范，当下已然得到 Google Chrome 和 Mozilla Firefox 的扶持 (需开启评测性选项，见结尾)，其他阅读器的扶持估计还需要一些时间，站点启动 ECH 规范后也不会作用使用者的关注开放世界对比正常访问，毕竟阅读器若是不扶持 ECH 的话还可以降级到 SNI/ESNI 持续访问。

升级：CloudFlare 免费版托管的站点已然被默认开启 ECH 且不扶持退出。(位于：控制台、站点、SSL/TLS、边缘证书、加密的重磅算力芯片评论客户端问候。)

什么是 ECH 规范：

ECH 即 Encrypted Client Hello，这是 ESNI 的继任者，首要目的是屏蔽用于协商 TLS 握手的办事器名称指示 (即 SNI)，也用来替代之前的加密办事器名称指示 (ESNI)。

联网管理商如何嗅探使用者访问：

在 HTTP 时代，联网管理商有各式方式开展嗅探以搜寻使用者访问的大连楼市政策推荐站点，这是由于 HTTP 没有开展加密，联网管理商可以轻松劫持 HTTP 流量并在流量里插入垃圾信息，含有但不限于将使用者获取的使用替换为使用使用、在使用者访问的任意站点里插入流量套餐或者广告信息。

最近十年 HTTP 高效向 HTTPS 过渡，HTTPS 对站点信息开展了加密，中端机报道管理商无法再随意劫持流量，但这并不意味着管理商无法再嗅探使用者访问哪些站点。

当我们使用阅读器访问某个地址时，DNS 请求也会研究地址、SNI 信息也会暴露域名，于是业界又启动 DNS over HTTPS/TLS，用来加密 DNS 查询请求。

但是 SNI 难题依然没有解决，由于 SNI 信息依然会暴露给联网管理商。

ECH 是如何解决 SNI 信息暴露的：

ECH 的 ClientHello 讯息被分成两个若干，内部若干和外部若干，外部包含的是非敏感信息，例如使用的加密类型和 TLS 版次，内部若干则包含已然加密后的内部 SNI。

在 CloudFlare 托管的站点若启动 ECH 后，则外部若干使用的是 cloudflare-ech.com，这是个共享的 SNI，管理商最多只能得知使用者访问的站点使用的是 CloudFlare 和 ECH 规范，并不得知具体的站点域名。

而内部包含隐私的 SNI 信息，则由 CloudFlare 开展加密和解密，所以管理商无法获知信息。

当下 ECH 已然得到量大主流阅读器扶持：Google Chrome 和 Mozilla Firefox，而 Chromium 的扶持也意味着其他基于 Chromium 的阅读器多数也扶持 ECH，这有助于高效提升互联网的隐私可靠。

从今日起，CloudFlare 付费使用者将可以在控制台开启 ECH 特性，接下来几周该特性会扩展到免费使用者，到时候所有托管在 CloudFlare 的站点都可以使用 ECH。

阅读器扶持说明：

Chrome 请开启此评测性选项：chrome://flags/#encrypted-client-hello (注：Chrome 117 + 默认启动)

Firefox 请开启此评测性选项：about:config 开启 network.dns.echconfig.enabled

Safari：将提供扶持