V2EX 不能用 Encrypted ClientHello(ECH)

因为 Cloudflare 尚未向 Free Plan 之外的用户推送 ECH ，V2EX 应该是 Enterprise

https://dns.google/query?name=www.v2ex.com&rr_type=HTTPS&ecs=

查询 HTTPS 记录可见没有 ECH 所需的公钥

我的 chrome 在 defo 这个网站显示没有使用 ech

ech 已 g

@spartacussoft 25 号 cloudflare 又开放 ech 了

@wyjson 是的，cf 总是先导。
难的是，ech 要从星星之火变成燎原，是一点机会都没有，都是 g 摇篮。

@huangtao728 这么看应该是 V2EX 没开 ECH 。
@Livid

@AlphaTauriHonda 谢谢提醒，原来这个功能已经正式上线了。

已经打开。

@Livid 非常感谢
果然还是 @好用
https://v2ex.com/cdn-cgi/trace
tls=TLSv1.3
sni=encrypted

@AlphaTauriHonda 嗯，我这里也看到了。期望对更多用户带来便利。

v6 还是 plaintext

看来不是 v6 问题，换了几个节点都是 plaintext
手机端是不支持吗

浏览器侧需要开启什么配置才行吗?比如 edge129

@a33291 可能需要在浏览器里也开启 DoH 并选择 Cloudflare 作为 DoH 服务器。

@Livid #13 感谢,但是测试发现没有什么效果
设置 cf 为 dns 并且干净重启了浏览器,访问 op 提供的 3 个地址都还是 plaintext,玄学了
环境:win11 edge 129

感谢, 实测已经可以直连

但是有一个问题, 如果浏览器强制启用 doh 的话, 那么就意味着所有网站都要走 doh, 这样的话国内的网站访问就会变的很慢. 不知道有没有什么方法可以在不使用浏览器 doh 的情况下分流 dns?

我的 CF 控制台里怎么没有开启 ECH 选项

@delpo 实在不行这样
104.20.47.180 v2ex.com
104.20.47.180 www.v2ex.com
104.20.47.180 cdn.v2ex.com
104.26.11.129 i.v2ex.co

@Dk2014 手机端不支持

fl=xxxxxxx
h=v2ex.com
ip=xxxxxxxxx
ts=xxxxxxxxx
visit_scheme=https
uag=Mozilla/5.0 (iPhone; CPU iPhone OS 17_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4 Mobile/15E148 Safari/604.1 Ddg/17.4
colo=LAX
sliver=none
http=http/3
loc=US
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off
kex=xxxxxxxxx

不需要浏览器开启 doh ，只要用的 cloudflare 的 doh 或者 dot 解析应该都行（我测试是这样），或许不用 cloudflare 的 dns 也行？

@AlphaTauriHonda #17

@Dk2014 #17

手机端怎么可能不支持,FireFox 在 Android 上有几款 fork 可以开[about:config],在里面设置一下[network.trr.*]这几个参数就可以了

@52acca #19 dns 支持解析 https 类型的记录就可以 dig https +short www.v2ex.com

@AlphaTauriHonda
@52acca
我测了一下, 好像 firefox 必须开 doh 才能有 ech, 但是 edge 可以用默认 dns

开启代理后，h3 和 ech 会停用。直连+doh 才能启用 h3 和 ech
@Dk2014
@a33291

@superkkk #23 [DOH]和[SOCKS5 远程解析域名]相冲突,关掉域名远程解析

@superkkk 透明代理+cf 的 dns 确定有 ech ，但我 block 了 udp 443 端口，所以是 h2

cloudflare-ech.com 要设置为直连才能开启 ech 。不知道如何设置能实现走代理的情况下开启 ech

才打开？我上午测试的时候就能打开了

要有无污染 DNS ，Chrome flags 开启 ECH

不过 /cdn-cgi/trace 里面只有用 1.1.1.1 的 doh 才会显示 encrypted ，其他会显示 plaintext ，但是总之能打开

@AlphaTauriHonda @superkkk 小米手机 chrome 浏览器实测开 vpn 可以 ech 没问题

我这里显示 sni=encrypted

我现在已经可以直连 V2EX 了

浏览器不需要开 doh ，只要上游路由器用 cloudflare 的 doh 就可以，客户端用 udp 请求 dns 也可以显示 encrypted

做了个小实验，应该只要是没被污染的 dns 都可以 encrypted ，尝试了 google 和 cf 的 doh ，还有 udp 53 查询 8.8.8.8 和 1.1.1.1

https://imgur.com/dmmjgXa
https://imgur.com/nrGhA7H
https://imgur.com/bhqhHLR

很奇怪，在开启 1.1.1.1 的 doh 后，v2ex 就可以直连了，但是 sni 并没有加密

@AKMYAN 你走的是 http3(quic)，墙暂时不支持拦截 quic

@delpo firefox 开 doh 才能开 ech ，似乎是开发者设计的
https://groups.google.com/a/mozilla.org/g/dev-platform/c/uv7PNrHUagA/m/BNA4G8fOAAAJ?pli=1

是不是 sni=encrypted 就是通过 ECH 连接的？

@czfy https://bugzilla.mozilla.org/show_bug.cgi?id=1500289
这个问题应该已经解决了, 我刷了几次, 发现不启用 doh 的时候也有 sni=encrypted 标志. 但是神奇的是多刷新几次就有可能会出现 plaintext, 我估计是 dns 请求的问题, 因为国内公共 dns 似乎都屏蔽了 HTTPS 记录.

@delpo 太诡异了，前几天我回帖子的时候我 firefox ECH 还是正常的，今天看 ECH 就不生效了，都不知道发生了什么事

@czfy 我这里 ff 还是正常可用的, 有问题的话很大可能是 dns 问题, 获取不到 HTTPS 记录就会禁用 ech

坐标白名单地区，SNI 头 cloudflare-ech.com 不在白名单里，所以用了无污染 DOH 之后还是打不开 ECH 后的域名，之后大面积推广了之后，GFW 只要把这个 SNI 一墙，那就没得玩了

@z919126592 有一个关键点在于, 国内的 dns 是否会屏蔽掉没有被墙的正常网站的 DNS HTTPS 记录(或者屏蔽记录里的 ech 字段).
目前来看, 未被墙的网站在公共 dns 或者运营商 dns 上也是可以查到 HTTPS 记录的, 在这种情况下, 由于 ech 在 ff 和 chrome 系浏览器已经默认开启了(edge 好像没有), 那么在存在 HTTPS 记录的情况下 ech 就会开启, 这时候如果 cloudflare-ech.com 这个网站被 sni 阻断的话, 就会导致未被墙的网站也无法访问, 这显然不是 GFW 希望看到的. 所以没法一刀切的阻断这个域名.

我用的是 Android chrome 浏览器，ISP 网络运营商是乌鲁木齐联通和乌鲁木齐广电，DNS 是在 chrome 浏览器里设置的 doh 模式 openDNS ，我这边实测下来是支持的。

fl=619f143
h=v2ex.com
ip=2408:845a:11c:a526:b84f:8ff:fe31:c031
ts=1728150037.47
visit_scheme=https
uag=Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Mobile Safari/537.36
colo=LAX
sliver=none
http=http/3
loc=CN
tls=TLSv1.3
sni=encrypted
warp=off
gateway=off
rbi=off
kex=X25519

@delpo
@czfy

有时生效有时失效的可能原因: https://v2ex.com/t/1080301#;

@terrytw 很感谢你的解答，确实是解答了我之前很长时间的疑惑。