公司通过组策略或改注册表的方式更改了设置,就会显示受管理的浏览器。这样的话flags、很多设置和插件等功能是用不了的,需要找it把注册表先改回去才能改
2 个赞
如果你自己动过注册表的话自己改回来就正常了。如果不是你改的,就去找你们的it。否则是改不了的
1 个赞
嗯,自己动没动过忘记了,我先问问其他同事吧,虽然我也是IT的
有个好久之前的策略导致的,删了就好了
1 个赞
手机没法设置吧
ech在chromium内核大于122版本的浏览器上已经默认启用了, 并且无法关闭
1 个赞
安卓主流浏览器大部份已经默认支持了, 设置好DOH之后就能直连
1 个赞
最近很多境外的DOH服务器都被reset了, 所以想直连的话, 建议使用ip形式的DOH
可用doh服务器
这里有常用的ip DOH服务器
6 个赞
关键是怎么设置…
2 个赞
我直接AdGuardHome自建DOH,放到国外的vps上,套大善人的CDN仅自己使用。顺便去了广告
2 个赞
以最新版本android chrome为例, 在Settings → Privacy and security → Use secure DNS → Choose another provider → Custom → 填写 https://208.67.222.222/dns-query
然后访问https://linux.do/cdn-cgi/trace, 如果出现sni=encrypted, 即设置成功
1 个赞
这延时起码在两百毫秒以上吧!体验感非常不好
ios 没有 
1 个赞
ios系统因为苹果的要求, 浏览器不能用第三方内核, 而safari是主流浏览器里为数不多的还未支持ech的, 所以ios下现在似乎的确没有支持的.
不过苹果一贯的作法就是只支持成熟的技术, ech标准目前还在草案阶段, 所以没这个功能也在意料之内吧
5 个赞
现在的ech协议跟以前esni不一样的一点就是不允许回退了, 所以在现在大部份浏览器默认开启ech的前提下想要一刀切, 那就只能把所有托管在cf的网站屏蔽掉, 这样会把没有被墙的网站也干掉.
所以目前来看DNS污染依然是有效的, 直接把HTTPS记录污染就可以了. 而直接干掉所有开启ech的网站不是很现实.
2 个赞
对啊,所以 doh 服务器和 cf 必定会有一个被完全墙掉
3 个赞
其实CF zerotrust免费计划每个账户可以白嫖三个私人dns,支持ipv4(共用)、ipv6、dot、doh,可以在管理界目把日志给关了,只不过速度嘛,一言难尽
这就会导致没有被墙的网站也无法访问
主流浏览器的ech已经默认开启了, 在HTTPS记录存在的情况下, 就会使用ech进行连接. 目前国内的公共dns或者运营商dns并没有屏蔽未被墙网站的HTTPS记录, 所以如果把cloudflare-ech.com拉黑以后, 未被墙的网站开启ech以后也会导致无法访问, 这个打击面太大.
所以要么在ech无法回落的情况下, 把dns的HTTPS记录屏蔽掉才是比较好的方案. 问题在于, 要保证未被墙网站正常访问的前提下, 如果把这些网站的dns HTTPS记录都污染了, 那打击面也依然很大. 不过说实话, HTTPS记录的用处真的不大, 所以要是真的全污染了也不是什么奇怪的事情.
1 个赞
但是CF只是对于免费账户托管的网站强制开启ech,并且无法关闭,而付费账号是默认不开启的,可以去后台手动开启,在这里免费和付费账户就区别对待了,估计以后需要向国内提供服务的利用CF CDN的网站至少需要要开启20美元一个月的pro付费套餐了,各种白嫖佬可能以后真的白嫖不到了
2 个赞
现阶段区别对待我觉得主要是因为现在还处于测试阶段, 让免费用户当小白鼠, 是一个很现实的策略
ech毕竟还处于草案阶段, 即使成为标准了, 也很难在三五年内铺开. 就比如说http3, 通过这么多年了, 也没有很多网站支持, 这可能也是http3没有sni封锁的原因. 所以我说的情况是ech大规模使用的前提下, 这个可能还需要很长时间.
1 个赞