TLDFYI

加密客户端Hello(ECH / ESNI)

加密客户端Hello(ECH),前称加密SNI(ESNI),是一种TLS扩展,用于加密TLS握手中的服务器名称指示(SNI)字段。SNI字段传统上会暴露客户端正在连接的域名,即使流量本身已加密。ECH通过使用域名[[dns|DNS]](作为HTTPS或SVCB记录)中发布的公钥来加密SNI,从而弥补这一隐私漏洞。ECH需要[[dns-privacy|DNS隐私]](如[[dns-over-https-browser|DoH]])才能完全生效。

示例

Without ECH, a passive observer on a CDN-hosted IP sees 'TLS ClientHello → target: example.com' even over HTTPS. With ECH, the SNI field is encrypted, revealing only the CDN's outer hostname.