Adaptive TLS Fingerprint

SurgeTeam

由于 TLS/SSL 协议历史悠久，存在大量握手参数，且握手时的参数是明文传递的。这使得握手时的参数的排列与组合方式便可以当做一种特征，即 TLS 指纹。通过 TLS 指纹，可以推断客户端的浏览器版本、操作系统等信息。

为了保护隐私和防止非标准 TLS 客户端检测，Surge 新加入了 Adaptive TLS Fingerprint 功能。Surge 将从处理的流量中自动提取和复制系统请求的 TLS 指纹（目前复制对象为 gateway.icloud.com 的 HTTPS 请求）。通过这种方式，Surge 所产生的 TLS ClientHello 数据包将与 iOS 系统请求完全一致，避免产生独特的 TLS 指纹。

目前该功能与 Shadow TLS v3 绑定，无需单独配置开启。

这是系统与 gateway.icloud.com 通讯时 Wireshark 所抓取到的 Client Hello 握手包。

这是 Surge 使用 gateway.icloud.com 的 SNI 与 Shadow TLS V3 服务器通讯时 Wireshark 所抓取到的 Client Hello 握手包。

可以看到，除了 Client Random 和 Session ID 两个随机字段外，其余参数均一致。所产生的 JA3 指纹也一模一样。

可从 JA3 指纹数据库中发现该指纹所对应的客户端信息：https://ja3.zone/hash/773906b0efdefa24a7f2b8eb6985bf37

leftsidestory

SurgeTeam 现在直接支持Shadow-TLS v3了吗？请问需要如何申请使用该功能呢？

liyansum

Adaptive TLS Fingerprint能作用于其他tls代理协议上吗？例如trojan

leftsidestory

liyansum 他说和shadow-tls绑定的话，理论上是不是tcp协议都可以使用。但是前提是要套shadow-tls吧。

SurgeTeam

liyansum 由于一些技术限制，目前仅可被用于 Shadow TLS v3 中。

moremorefun

该功能是只在Shadow TLS v3被使用？
还是在其他套用tls的协议上都会被使用？

leftsidestory

moremorefun

moremorefun 好像只能套shadow-tls v3，因为是shadow-tls v3的一个功能。你其他协议只要是tcp的转发给shadow-tls就可以了

moremorefun

leftsidestory 我不太喜欢Shadow TLS，虽然我说不上为什么

dororo

@SurgeTeam Shadow TLS V3是否是Surge Mac V5独占的一个功能更新？

SurgeTeam

dororo 是的

leftsidestory

SurgeTeam 最新的build升级以后，不支持多个sni了。直接提示sni invalid

SurgeTeam

leftsidestory 客户端配置多个 SNI 并没有意义，先前版本是没有做校验。

owenlynda

SurgeTeam Please, add this in the next update of Surge Mac 4 if the logic of 4 can make it possible

cache0928

iOS端非TestFlight版何时可以支持Shadow TLS V3？目前Mac端和iOS端不能用同一套配置文件 SurgeTeam

ls270400

iOS版本后续是否会支持Shadow TLS v3 ?

again2k

要实现这个功能，需要在 shadow-tls 配置里的 --tls 必须用 gateway.icloud.com 吗？

leftsidestory

again2k 不是啊。基本主流大厂的支持tls1.3的链接都可以