TLS: Add ECH

pull/728/head
风扇滑翔翼 2025-07-26 05:51:14 +00:00 committed by GitHub
parent 7c8c469fb3
commit b9a72a4a26
No known key found for this signature in database
GPG Key ID: B5690EEEBB952194
1 changed files with 24 additions and 2 deletions

View File

@ -116,7 +116,9 @@ Reality 是目前最安全的传输加密方案, 且外部看来流量类型和
"fingerprint": "",
"pinnedPeerCertificateChainSha256": [""],
"curvePreferences": [""],
"masterKeyLog": ""
"masterKeyLog": "",
"echConfigList": "",
"echServerKeys": ""
}
```
@ -265,7 +267,27 @@ x25519Kyber768Draft00
> `masterKeyLog` : string
(Pre)-Master-Secret log 文件路径可用于Wireshark等软件解密Xray发送的TLS连接暂不支持与utls一起使用。
(Pre)-Master-Secret log 文件路径可用于Wireshark等软件解密Xray发送的TLS连接。
> `echConfigList` : string
仅客户端参数,配置 ECHConfig, 不为空则代表客户端启用 Encrypted Client Hello. 支持两种格式
第一种直接 固定 ECHConfig, 如 `"AF7+DQBaAAAgACA51i3Ssu4wUMV4FNCc8iRX5J+YC4Bhigz9sacl2lCfSQAkAAEAAQABAAIAAQADAAIAAQACAAIAAgADAAMAAQADAAIAAwADAAtleGFtcGxlLmNvbQAA"`
第二种从 DNS 服务器查询,比方说使用 CDN 时可以通过 HTTPS 记录动态获取其配置的 ECHConfig, 且 Xray 会遵守服务器下发的 TTL查询目标会是配置的 SNI, 或者配置的服务器域名(如果 SNI 为空且目标为一个域名)
基础格式为 `"udp://1.1.1.1"` 表示从 UDP DNS 1.1.1.1 查询,也可以使用 `"https://1.1.1.1/dns-query"` 这样的格式,代表使用 DOH 进行查询(实际使用请替换成当地可用的服务器). 上述两种均支持修改端口号,如 `udp://1.1.1.1:53`,没写会按照协议默认 53/443.
特别地,可以使用指定的域名用于查询 ECHConfig, 格式为 `"example.com+https://1.1.1.1/dns-query"` 这样 Xray 会强制使用 example.com 的 DNS 记录中的 ECHConfig 用于连接,如果你想从 DNS 获取 ECHConfig 但又不想暴露自己在查询这个域名的 HTTPS 记录或者在这个域名下发布 HTTPS 记录时有一些用。
> `echServerKeys` : string
仅服务端参数,用于服务端启用 Encrypted Client Hello.
使用 `xray tls ech --serverName example.com` 生成可用的 ECH Server Key 和对应的 Config, 其中 example.com 是在 SNI 被加密用用于暴露在外部的 SNI, 可以随便填。Server Key 包含了 ECHConfig, 如果你不慎弄丢了客户端用的 Config 可以使用 `xray tls ech -i "你的 server key"` 重新获得。你可以把它发布到 DNS 的 HTTPS 记录中,格式参考[这里](https://dns.google/query?name=encryptedsni.com&rr_type=HTTPS) 或者 RFC 9460
注意服务端配置 ECH 后仍然接受正常的非 ECH 连接,但是客户端配置 ECH 后如果未能正确执行 ECH 握手会直接失败,不会回退到明文 SNI.
### RealityObject