启用ECH的配置

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 开启 Encrypted Client Hello (Secure SNI)

ECH

ECH 全称是 Encrypted Client Hello ,主要用于增强互联网连接的隐私保护。ECH 的核心是确保主机名不被暴露给互联网服务提供商、网络提供商和其它有能力监听网络流量的实体。

ECH(Encrypted Client Hello) 是一种TLS/SSL协议中的扩展,其目的是提高TLS/SSL连接的安全性。在TLS/SSL协议中,客户端向服务端发送一个"Client Hello"消息来建立连接,这个消息中包含了客户端支持的加密方式、协议版本等信息。开启ECH后,客户端会将这个"Client Hello"消息加密并发送给服务端,这样即使被第三方截获,也无法获取客户端的信息。

开启ECH有以下好处:

提高连接安全性:在传输过程中加密"Client Hello"消息,防止被截获。
隐藏客户端的能力:客户端支持的加密方式、协议版本等信息被加密,服务端无法获知。
抵御攻击:攻击者无法通过"Client Hello"消息来识别客户端的弱点进行攻击。
提高隐私性:加密"Client Hello"消息可以防止第三方获取客户端的信息。

在使用ECH时, 需要注意,服务端必须支持ECH扩展,才能正常建立连接。另外,对于客户端来说,加密"Client Hello"消息会增加一定的连接延迟,需要在安全性和性能之间进行权衡。

Chrome

开启ECH: chrome://flags/#encrypted-client-hello 将 Encrypted ClientHello 设置为Enabled

Firefox

开启ECH: 在 about:config 搜索条目 network.dns.echconfig.enablednetwork.dns.use_https_rr_as_altsvc,将它们的设定改为 true 即可。

about:config 中将 network.trr.mode设置为 2(默认是0),即优先使用用 TRR(也就是我们的 DNS over HTTPS),在解析失败时使用常规方式。也可以设置成3,强制 Firefox 使用 DoH。参见 https://wiki.mozilla.org/Trusted_Recursive_Resolver

检测是否正在使用ECH

https://1.1.1.1/help/

https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/

https://crypto.cloudflare.com/cdn-cgi/trace/

目录
相关文章
|
3月前
|
块存储
cephx认证及启用和禁用实战
这篇文章介绍了如何在Ceph集群中禁用和启用cephx认证协议,包括修改配置文件、重启服务以及验证配置更改的效果。
70 2
cephx认证及启用和禁用实战
|
7月前
|
域名解析 网络协议
静态网络配置
静态网络配置
|
7月前
|
网络虚拟化
VLANIF配置
VLANIF配置
80 0
禁用与启用
禁用与启用
125 0
禁用与启用
|
NoSQL Java 应用服务中间件
启用自动配置注解|学习笔记
快速学习启用自动配置注解
137 0
|
安全 Shell 网络安全
安全配置
一、 密码配置1、 全局明文密码:控制路由器从用户模式登录到特权模式的密码,显示为明文。Router (confi g)#enable password yujieRouter (config)#Router>enablePassword:明文密码加密:输入明文密码后,通过该命令将密码加密。Router (config)#service password-encryptionRouter(config)#2、 全局密文密码:控制路由器从用户模式登录到特权模式的密码,显示为密文。Router(config)#enable secret cntc-edu.comRoute(通过设置可使用用户在本地
安全配置
|
Linux
18.13 SELinux策略规则的开启和关闭
默认情况下,并不是所有的规则都处于开启状态,因此,虽然我们无需修改规则的具体内容,但学习如何开启和关闭规则,还是很有必要的。
279 0
18.13 SELinux策略规则的开启和关闭
|
运维
一个配置引发的血案
一个配置引发的血案一个配置引发的血案,记一次线上事故的复盘。 一天晚上的业务高峰期,出现了超时(数据加载不出来的情况)。 联想到前一天有发版的工作,第一功能上并没有太大的调整,此次发版内容更多的是新增的功能,用户使用量也较少,基本可以排除因功能导致的问题;第二是否中间件出现问题,因数据的交互,有80%是和redis交互,从慢日志查询中未发现有异常情况;第三隐约有人说过用于负载的服务,昨天发版关闭掉了一台。
1308 0
Confluence 6 禁用或者重新启用一个任务
在默认的情况下,所有的 Confluence 计划任务都是默认启用的。 使用 启用(Disable )/ 禁用(Enable )连接操作来启用和禁用每一个计划任务。
989 0