目录
- 1 Encrypted Client Hello (ECH)是什么?为什么很重要?
- 2 如何在 Firefox 启用 ECH?
- 3 如何知道我是否能用 ECH?
- 4 ECH 是否影响网速?
- 5 ECH 影响网络兼容性吗?
- 6 ECH 可以和其他安全工具(比如拦截工具)同时使用吗?
- 7 ECH 可以和其他安全工具(比如 VPN)同时使用吗?
- 8 使用 ECH 有没有什么隐私和安全的担心?
- 9 加密后用户会有什么感觉?
- 10 ECH 如何影响家长控制?
- 11 ECH 对使用透明代理的企业有什么影响?
- 12 ECH 如何与不使用 DoH 交互?
- 13 哪些网站可以使用 ECH?
- 14 为什么用户不能直接控制 ECH?
- 15 我能和其他 DoH 一起使用 ECH 吗?
- 16 没有 DoH,可以使用 ECH 吗?
- 17 为什么 ECH 依赖于 DoH?
- 18 如何判断 ECH 是否工作?
- 19 更多
Encrypted Client Hello (ECH)是什么?为什么很重要?
ECH 是 Firefox 和一些主流浏览器的一个安全功能,它弥补了在线隐私和安全架构上的一个空白:ISP 和某些非授权第三方通常会访问到用户请求的网站信息。
如何在 Firefox 启用 ECH?
要使用 ECH,请 升级 Firefox 到 版本 118 或更高版本,并 启用 DNS over HTTPS。
如何知道我是否能用 ECH?
ECH 首先在 Firefox 118 上可用。在 119 及更高版本上 ECH 默认启用,但是前提是启用 DoH。请 了解 DoH 发布计划。
ECH 是否影响网速?
不会。ECH 在联网时只需获取极少量的数据。该数据只有几百字节,不会影响网速。Firefox 联网的同时也会在查找 DNS 时获取该数据,确保连接没有额外的延时。
ECH 影响网络兼容性吗?
ECH 的设计考虑了和现有网络及服务的交互。现有标准要求服务器在不能解析时,忽略 ECH,而 Firefox 知道如何继续连接而不中断浏览。我们以及做个多个研究和测试,保证网站正常使用。
ECH 可以和其他安全工具(比如拦截工具)同时使用吗?
可以。ECH 可以和广告拦截工具一起使用。集成到 Firefox 的广告拦截工具自动和 ECH 一起工作,无需任何改变。不过,使用基于 DNS 过滤的用户可能需要调整配置以配合使用 ECH。Firefox 需要配置 DNS-over-HTTPS 服务器才能使用 ECH。根据 DNS 过滤是本地托管还是在线托管,连接 DoH 会有所不同,使用此类服务的用户需要查看相关文档。
ECH 可以和其他安全工具(比如 VPN)同时使用吗?
可以。实际上,联合 ECH 和 VPN 可以提供隐私和安全的额外保护。要使用 ECH 和 VPN。DNS over HTTPS 保护级别 要 在 Firefox 中配置基于 HTTPS 的 DNS 保护级别 到 增强 或 最大保护 模式。因为 默认 保护模式使用 VPN 提供商的 DNS 而不是 DoH 以保证流量争取路由。在访问非公开网络资源时,请注意 VPN 是由企业托管还是自我托管,改变 DNS 保护级别可能会导致 Firefox 不能访问私有资源。
使用 ECH 有没有什么隐私和安全的担心?
ECH 是保护在线隐私和安全的有用工具,因为它会加密初始的网络连接。不过,我们要知道许多网站还不支持 ECH,这意味着连接这些网站不能获得 ECH 提供的保护。要获得保护,请确保 Firefox 浏览器 升级到最新版、安装最新安全增强功能,包括 ECH。和 VPN 技术不同,ECH 不涉及流量转发和第三方;它就是在你的标准连接上增加了额外的加密。
加密后用户会有什么感觉?
Firefox 用户应该不会有什么浏览体验的差别。
ECH 如何影响家长控制?
如果使用了家长控制功能,ECH 加密就会被禁用,以保证不干扰家长控制功能。
ECH 对使用透明代理的企业有什么影响?
如果发现有浏览器信任的代理或中间件,ECH 加密会自动被禁用。所以不会影响企业代理。
ECH 如何与不使用 DoH 交互?
不使用 DoH 的话,Firefox 默认将禁用 ECH 加密。用户活其他软件可以通过网络信号、管理员或组政策设置不使用 DoH。如果设置为 提高 或 最高 DoH 保护,那么网络信号将被忽略。
哪些网站可以使用 ECH?
任何网站都可以使用 ECH,只要其服务器端做出必要的支持。最佳方式是单个服务器托管多个网站,而这是网络生态的常见配置。
为什么用户不能直接控制 ECH?
与我们致力于保护隐私和安全的承诺一致,Firefox 会默认带有全面的保护。因此,如果未使用内部安全软件或 Firefox 未配置为企业环境,那么 ECH 默认启用。这和 Firefox 的其他安全和隐私技术一样,比如 TLS 1.3,用户也不能设置。
我能和其他 DoH 一起使用 ECH 吗?
可以!所有 DoH 服务器,无论本地或是在线服务,都可以获取 ECH 记录。
没有 DoH,可以使用 ECH 吗?
目前 Firefox 不支持没有 DoH 使用 ECH。ECH 依赖 DoH 才能工作,因为它需要由 DNS over HTTPS 提供密钥来加密起始连接。所以,要在 Firefox 上使用 ECH,必须要启用 DoH。
如果没有 DoH,那么 Firefox 的 DNS 请求在本地网络是没有加密的,因而可以监控。如果你愿意使用本地 DNS 服务器,那么你可以自我配置 DNS over HTTPS (DoH),确保本地网络的 DNS 流量也加密。
为什么 ECH 依赖于 DoH?
ECH 依赖于一种新的 DNS 记录,它叫 HTTPS 资源记录,它描述如何使用 ECH 连接到网络。ECH 为了有效地提供隐私保护,这些记录需要通过加密连接来获取,所以 Firefox 使用 DoH。
我们知道有些专家更愿意使用自建的本地 DNS 解析。此时,我们建议同时自建 DoH 服务器并配置 Firefox 使用之。这样能确保本地 DNS 流量在你的客户端和服务器端是加密的,防止本地网络的其他设备获取。另外。如果可能,你也可以在 DNS 设置页面配置 Firefox 使用和本地解析同样的上游 DNS 提供商。
随着操作系统对 DoH 和其他 DNS 加密传输的支持不断进步,我们会研究通过操作系统支持此类记录的获取。
如何判断 ECH 是否工作?
ECH 不带浏览器界面,但是你可以使用 Cloudflare 的浏览器安全检查 来查看是否工作。
