https://blog.hackerchai.com/encrypted-sni-anti-censorship/

ESNI随着TLS1.3的发布，让该协议成为有史以来最安全、也是最复杂的TLS协议。在该协议之中，有很多的对于以往协议安全漏洞的修复，包括废弃RSA启用新的秘钥交换机制PSK等等。而Encrypted SNI作为一个TLS1.3的扩展协议用来防止传统的HTTPS流量受到ISP或者陌生网络环境的窥探以及一些网络审查。在过去，由于HTTPS协议之中Server Name Indication - SN

test git talk

感謝筆者這篇詳細分析的文章
剛剛在看過去相關的論文，正好提到 SNI 對 CDN on practical censorship evasion 的部份
想說網上找看看現今的部屬狀況，就看到您的這篇文章
實在是太感謝了

@chenIshi
感謝筆者這篇詳細分析的文章
剛剛在看過去相關的論文，正好提到 SNI 對 CDN on practical censorship evasion 的部份
想說網上找看看現今的部屬狀況，就看到您的這篇文章
實在是太感謝了

也谢谢你来读这篇文章，目前我对国内互联网的隐私问题比较关注，马上会写两篇关于查昂用平台保护隐私的文章

@hackerchai

@chenIshi
感謝筆者這篇詳細分析的文章
剛剛在看過去相關的論文，正好提到 SNI 對 CDN on practical censorship evasion 的部份
想說網上找看看現今的部屬狀況，就看到您的這篇文章
實在是太感謝了

也谢谢你来读这篇文章，目前我对国内互联网的隐私问题比较关注，马上会写两篇关于查昂用平台保护隐私的文章

我自己測試 firefox-nightly 73 的結果下，需要把 network.trr.mode 調整成 3 並且需要設定 network.security.esni.enabled 為 true (參考文章) 才能通過 esni 檢驗

@chenIshi

@hackerchai

@chenIshi
感謝筆者這篇詳細分析的文章
剛剛在看過去相關的論文，正好提到 SNI 對 CDN on practical censorship evasion 的部份
想說網上找看看現今的部屬狀況，就看到您的這篇文章
實在是太感謝了

也谢谢你来读这篇文章，目前我对国内互联网的隐私问题比较关注，马上会写两篇关于查昂用平台保护隐私的文章

我自己測試 firefox-nightly 73 的結果下，需要把 network.trr.mode 調整成 3 並且需要設定 network.security.esni.enabled 為 true (參考文章) 才能通過 esni 檢驗

我也验证了一下这个问题，马上我会修改一下文章，再次感谢

@chenIshi

@hackerchai

@chenIshi
感謝筆者這篇詳細分析的文章
剛剛在看過去相關的論文，正好提到 SNI 對 CDN on practical censorship evasion 的部份
想說網上找看看現今的部屬狀況，就看到您的這篇文章
實在是太感謝了

也谢谢你来读这篇文章，目前我对国内互联网的隐私问题比较关注，马上会写两篇关于查昂用平台保护隐私的文章

我自己測試 firefox-nightly 73 的結果下，需要把 network.trr.mode 調整成 3 並且需要設定 network.security.esni.enabled 為 true (參考文章) 才能通過 esni 檢驗

刚开始自己配置时候是修改这个选项的，但是写文章时候不小心漏掉了这么重要的部分，为带来的麻烦道歉，再次感谢你的仔细勘误和验证，祝好！

請教一下，為什麼儘管使用了 esni 與 dns over https/tls （我看 wireshark 顯示我送出去的包是用 tls），訪問請求還是會被擋下來

1. 境內 dns 聽說全部都沒有正確的查找，但是根據加密 dns 我看到的確有到 1.1.1.1 的加密流量，所以 dns 查找這步驟應該沒問題
2. https 本身應該沒有擋端口，本身跟 nsi 也都加密的前提下，怎麼還會被擋下來

@chenIshi
請教一下，為什麼儘管使用了 esni 與 dns over https/tls （我看 wireshark 顯示我送出去的包是用 tls），訪問請求還是會被擋下來

1. 境內 dns 聽說全部都沒有正確的查找，但是根據加密 dns 我看到的確有到 1.1.1.1 的加密流量，所以 dns 查找這步驟應該沒問題
2. https 本身應該沒有擋端口，本身跟 nsi 也都加密的前提下，怎麼還會被擋下來

首先需要您去确认一下你测试的站点可能不可以在大陆环境顺利访问，我推荐访问的站点是cloudflare的blog

请问为什么我完全开启了FireFox的esni+doh，访问上述验证页面还是显示我没开启？

@liberty-code
请问为什么我完全开启了FireFox的esni+doh，访问上述验证页面还是显示我没开启？

试下Nightly版本呢

@hackerchai

@liberty-code
请问为什么我完全开启了FireFox的esni+doh，访问上述验证页面还是显示我没开启？

试下Nightly版本呢

不可以。。。但是我关掉v2ray代理就行。。。
可是，可是，我已经把
network.trr.enable_when_proxy_detected
和network.trr.enable_when_vpn_detected
都弄成true了呀

我的问题和这里的一样：https://www.v2ex.com/t/671813
求博主解答，感激不尽！

@liberty-code
我的问题和这里的一样：https://www.v2ex.com/t/671813
求博主解答，感激不尽！

你可以复现一下么？ 最好给我看一下Clash For Windows的日志截图/链接截图，看一下DoH走的代理和浏览网页的代理是否一致？

@liberty-code

@hackerchai

@liberty-code
请问为什么我完全开启了FireFox的esni+doh，访问上述验证页面还是显示我没开启？

试下Nightly版本呢

不可以。。。但是我关掉v2ray代理就行。。。
可是，可是，我已经把
network.trr.enable_when_proxy_detected
和network.trr.enable_when_vpn_detected
都弄成true了呀

Clash自带的DNS其实很不错的，还可以分流

@hackerchai

@liberty-code

@hackerchai

@liberty-code
请问为什么我完全开启了FireFox的esni+doh，访问上述验证页面还是显示我没开启？

试下Nightly版本呢

不可以。。。但是我关掉v2ray代理就行。。。
可是，可是，我已经把
network.trr.enable_when_proxy_detected
和network.trr.enable_when_vpn_detected
都弄成true了呀

Clash自带的DNS其实很不错的，还可以分流

好吧，我和问题里有一点不同：我用的v2ray，问题里用的clash
谢谢啦，我已经解决了，全局代理的时候ESNI是失效的，要在Firefox设置连接那个代理端口才行。