tombkeeper
23-09-09 12:14 微博认证:2025微博新锐新知博主 科技博主

前阵子我又提了一下 ECH:http://t.cn/A6OJuGdC,ECH 为什么重要呢?

随着 IETF 和背后各公司的努力,现在绝大部分网站都是加密传输了。也就是说,网络中间的小毛贼或利维坦都没那么容易看到你的通信内容了。整个加密传输体系发展这么多年之后,已经相当完备,只是还剩一个阿喀琉斯之踵。甚至在最新版加密协议 TLS 1.3 里这个阿喀琉斯之踵都还在。

当你打开一个网站:“www.生理卫生.com”,浏览器和网站建立通信,会发出一个被称作 ClientHello 的请求,请求里会包含“www.生理卫生.com”这个域名。

也就是说,网络中间的小毛贼或利维坦虽然可能不知道你具体学习了哪些生理卫生知识,但会知道你在学习生理卫生。

那为什么会留这么一个阿喀琉斯之踵呢?这要细说起来能说一宿。简单说就是 CDN、反向代理等很多业务都依赖这个阿喀琉斯之踵。所以虽然只是小小一个点,但要改变的话需要考虑的因素太多。

ECH 就是为了解决这个问题而设计的。如果网站和浏览器都启用了 ECH,整个 ClientHello 也都会被加密,小毛贼或利维坦们也就没办法知道你在学习什么了。

——其实不是,因为还有一个阿喀琉斯之腿肚子,也就是 DNS。

即便浏览器和“www.生理卫生.com”之间的通信完全加密了,但浏览器访问“www.生理卫生.com”之前还是需要向 DNS 查询这个域名,而 DNS 是不加密的。小毛贼或利维坦通过查看你的 DNS 请求还是可以知道你在学习生理卫生。

所以,除了 ECH,还需要 DoH,这个我以前也讲过:http://t.cn/A6OJuGdp

之前那条微博里说了 ECH 是 ESNI 的替代者。因为互连网先贤的继承者们认为 ESNI 还不够,所以有了 ECH。同样,DoH 也还不够,所以 2020 年又有了 ODoH。因为即便对域名解析过程进行了加密,但域名服务器的拥有者还是能知道你在访问什么域名。而域名服务器的拥有者本身可能就是小毛贼或利维坦。

ODoH 协议在用户和 DoH 之间又加入了中继。这样,当你通过中继向 DoH 发出“www.生理卫生.com”,中继不知道内容;而 DoH 虽然知道内容,但只知道这是中继发来的,不知道是你发的。这样,只要中继和 DoH 不是一条心(比如用伊朗的中继,美国的 DoH),整个域名解析过程也是安全的。

发布于 北京