ECH

ECH 全称是 Encrypted Client Hello ，主要用于增强互联网连接的隐私保护。ECH 的核心是确保主机名不被暴露给互联网服务提供商、网络提供商和其它有能力监听网络流量的实体。

ECH(Encrypted Client Hello) 是一种TLS/SSL协议中的扩展，其目的是提高TLS/SSL连接的安全性。在TLS/SSL协议中，客户端向服务端发送一个"Client Hello"消息来建立连接，这个消息中包含了客户端支持的加密方式、协议版本等信息。开启ECH后，客户端会将这个"Client Hello"消息加密并发送给服务端，这样即使被第三方截获，也无法获取客户端的信息。

开启ECH有以下好处:

提高连接安全性：在传输过程中加密"Client Hello"消息，防止被截获。
隐藏客户端的能力：客户端支持的加密方式、协议版本等信息被加密，服务端无法获知。
抵御攻击：攻击者无法通过"Client Hello"消息来识别客户端的弱点进行攻击。
提高隐私性：加密"Client Hello"消息可以防止第三方获取客户端的信息。

在使用ECH时, 需要注意，服务端必须支持ECH扩展，才能正常建立连接。另外，对于客户端来说，加密"Client Hello"消息会增加一定的连接延迟，需要在安全性和性能之间进行权衡。

Chrome

开启ECH: chrome://flags/#encrypted-client-hello 将 Encrypted ClientHello 设置为Enabled

Firefox

开启ECH: 在 about:config 搜索条目 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc，将它们的设定改为 true 即可。

在 about:config 中将 network.trr.mode设置为 2（默认是0），即优先使用用 TRR（也就是我们的 DNS over HTTPS），在解析失败时使用常规方式。也可以设置成3，强制 Firefox 使用 DoH。参见 https://wiki.mozilla.org/Trusted_Recursive_Resolver

检测是否正在使用ECH

https://1.1.1.1/help/

https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/

https://crypto.cloudflare.com/cdn-cgi/trace/