跟大家聊聊ECH和DoH的相关话题

开发调优
1

大家好!今天我们来聊聊 ECHDoH,他们能让你的上网更安全、更自由。有没有发现有些网站你明明想去,却被“墙”住了?像 Cloudflare Workers 的默认域名在国内就经常打不开。这个时候,ECH 和 DoH 就可以帮你绕过这些限制。

ECH 是什么?

简单来说,ECH 能加密你访问网站时的 SNI 信息。正常情况下,当你想访问某个网站时,这个请求是明文的,运营商能轻易看到你在访问什么,跟你玩SNI阻断,其实这也是GitHub在国内直连访问玄学的原因之一。但是,有了 ECH,这些信息就被加密了,外面的人就看不到你要去哪个网站。

DoH 是什么?

DoH 是用来加密你的 DNS 查询的。正常的 DNS 查询是明文的,容易被监控。而 DoH 能通过 HTTPS 加密这些查询,确保你的请求不被窥视。就像在发送加密的信息一样。

实际用途

结合 ECH 和 DoH,你可以访问被封锁的网站。例如,Cloudflare Workers 的域名被封锁,只要开启 ECH 并使用未被污染的 DoH 服务器(比如 Quad9),就能轻松访问你想要的网站。

如何设置?

#### Chrome 浏览器
1. 打开设置,去 chrome://settings/security
2. 在“使用安全的 DNS”中,输入 Quad9 的地址:https://dns.quad9.net/dns-query
3. 输入 chrome://flags,启用 encrypted-client-hellouse-dns-https-svcb-alpn,重启浏览器。

Edge 浏览器

鼠标右键点击 Edge 快捷方式,在“目标”栏添加 --enable-features=EncryptedClientHello

Firefox 浏览器

  1. 在地址栏输入 about:config,启用 network.dns.echconfig.enablednetwork.trr.mode=3
  2. 设置 DoH 服务器为 Quad9:https://dns.quad9.net/dns-query

检测网站

要验证是否成功开启了 ECH 功能,您可以访问以下检测网站:

注意事项

最后提醒大家Chrome 浏览器和 Edge 浏览器开启ECH在启用DoH的前提条件下才会生效

希望大家都能安全的在网上冲浪。

177 个赞
2

去年年底cf刚推出ech
没高兴太久就禁用了
时隔一年终于可以愉快冲浪了^^

9 个赞
3

谢谢分享,前段时间尝试DOH,发现国内使用DOH解析很慢:dizzy_face:

3 个赞
4

你可以试试这个DoH,实在不行可以本地搭建 AdGuard Home,用 mkcert 生成本地的 SSL 证书,配置一个本地的 DoH 服务。然后在浏览器的 DoH 设置里填入 https://127.0.0.1/dns-queryhttps://[::1]/dns-query

另外,你可以在 GitHub 上找到一些小众的无污染上游 DNS,支持普通 DNS、DoH、DoT 协议,把它们添加到 AdGuard Home 的上游 DNS 列表里。在设置页面开启加密 DNS,选择刚用 mkcert 生成的 SSL 证书。

记得一定要安装 mkcert 生成的根 CA 证书,不然浏览器不会信任你的证书。安装好 CA 后,访问 https://127.0.0.1/dns-query 时就会看到小绿锁:lock:

12 个赞
5

我在用adguaedhome,不过你这个玩法还没见过,谢谢分享

2 个赞
6

我的chrome浏览器打开flags搜不到 Encrypted ClientHello

1 个赞
7

encrypted-client-hellouse-dns-https-svcb-alpn,现在已经修改过来了。

3 个赞
8

image
image834×387 7.24 KB

还是没有,是否需要什么插件?已经更新到最新版本

4 个赞
9

好像谷歌已经弃用了ech了,还是用Edge吧!

3 个赞
10

我这的最新版 chromium 也没有这个。之前就想开的来着的,但是没找到
另外不要太指望 ech。现在是好的,之后肯定用不了。Cloudflare强行推 ech(免费用户不能关掉)的后果只有三种:要么 Cloudflare 允许免费用户关掉 ech,要么 ech 被完全封禁,要么 Cloudflare 被完全墙掉
ech 会极大地增加墙拦截境外网站的成本。比如v2ex.com在cloudflare后面,要是开ech了,那还怎么墙 v2ex?之前 cf 还推过 esni,和 ech 是差不多的,就因此被 gfw 一刀切了,只要 sni 没法识别就直接拦掉,不管是啥网站

6 个赞
11

快问快答, #纯水移除

12

我也觉得是…
最最后还是得用节点.
除非全面朝鲜化,不然还是自建最稳

2 个赞
13

Chrome从117版以后默认支持ECH了,所以不用另外在flag页面进行设置,只需要在设置里开启安全DNS即可

2 个赞
14

感谢分享这个教程

2 个赞
15

昨天在路由器发现有 DOL的选项,开了以后明显各位访问慢了,这是现在都不怎么支持的原因吗?崩铁游戏直接能打开但是进不去,选的严格和 CF 服务器 IP

2 个赞
16

edge 好像行不通,应该也是弃用了

5 个赞
17

感谢大佬分享

2 个赞
18

看看这个吧,估计是这个问题。

3 个赞
19

在受管理的浏览器上,此设置已被停用
这种怎么解决?取消自动获取DNS服务器吗?

1 个赞
20

这是什么情况?你细说