服务器
无法通过 DNS over HTTPS(DoH)解决 SNI 阻断问题,因为这两者之间并没有直接关联。DoH 或类似的 DNS over TLS(DoT)技术的主要目的是增强 DNS 查询的安全性,弥补传统 DNS 协议的漏洞。它能够防止 DNS 污染,保护用户的隐私,避免查询内容被窃听或篡改。然而,SNI 阻断是另一回事。SNI 是 HTTPS 连接建立过程中用于标识目标
服务器的信息,早期并不存在对 SNI 的阻断行为,这是随着网络防御机制不断升级才出现的技术手段。通过分析明文形式的 SNI 数据,某些防火墙能够判断并拦截所谓的非法流量。而 DoH 并不参与 HTTPS 的连接流程,因此无法解决因 SNI 明文暴露而导致的问题。真正与 SNI 相关的是 ESNI(加密 SNI)。当启用 ESNI 时,系统会发起一次 DNS 查询以获取加密所需的公钥及相关参数。如果在这个环节中使用 DoH 技术,确实可以提高安全性,抵御针对 ESNI 加密参数的潜在攻击。后续还有更先进的 ECH(加密
客户端_hello_)技术,其原理类似。需要注意的是,无论是 SNI、ESNI 还是 ECH,它们的目标都是隐藏
服务器信息,只不过名称和实现方式有所不同。所谓SNI 阻断,通常是指防火墙根据明文 SNI 判断用户访问了不合法的网站,并对其进行拦截。如果 SNI 被加密,防火墙可能选择拒绝支持 ESNI 或 ECH 的 HTTPS 流量,直接切断所有相关连接。在这种情况未发生时,DoH 可以帮助解决 DNS 不可信的问题,例如防止查询结果被污染,返回错误的公钥或参数导致加密失败。但一旦这些措施被采用,防御机制往往会变得更加简单粗暴,最终效果可能只是短暂的优势而已。
