luginbash Hi Administrator, 近年来主要 CDN 提供商已经开始部署 ESNI0 了,在通过代理访问网络的时候,加密 SNI 的内容也逐渐变得可能了。随着 DoH 被 Surge 支持,以及 draft 版本已经相对稳定,我觉得提出 ESNI 需求的时机已经成熟。同时 Cloudflare 提供了一个 ESNI 测试页面1,并且在博客上2描述了为何支持这项技术。目前部署方案是使用 TXT _esni 记录来储存域名公钥,但对 RR 的支持也在进行中。我十分希望能在 Surge 中见到对这项技术的支持,谢谢! Warm Regards, Lug --
Vivooop SurgeTeam Cloudflare免费版网站不能上传自定义证书,证书统一由CF签发管理,sni暴露的域名为sni.cloudflaressl.com。在未加密SNI请求头的情况下,探测设备可以直接阻断使用CF证书的443连接,这就是目前部分地区的阻断原理,所有使用免费版CF并且只开放HTTPS的网站都不能访问。 相关的情况描述可以google
SurgeTeam Vivooop Surge 支持自定义 TLS client hello 中 SNI 的内容,浏览器访问 URL 发送的 SNI 为 URL 中的主机名,服务端证书的 Common Name 和其他字段均为加密传输,你不主动访问 sni.cloudflaressl.com 数据流中根本不会出现 sni.cloudflaressl.com 的明文。这些和 ESNI 根本没有关系。
