5.2.1168.83 中无法启用 ECH

S8F8ry

按理说现在的内核版本中，在启用安全 DNS 后 ECH(Encrypted ClientHello) 应该是默认启用的，但测试目前在百分 5.2.1168.83 里启用安全 DNS 及选择 Cloudflare(1.1.1.1) DNS 提供商的情况下，在各种 ECH 测试网站的结果均为未启用。


此外测试了在 Chromium 134.0.6998.178、Chrome 141.0.7390.66 以及百分 5.1.1130.129 (将 chrome://flags/#encrypted-client-hello 设为 Enabled) 中使用相同安全 DNS 配置后，测试网站给出的结果均为正常启用。

附带一些常用的测试网站：

• https://tls-ech.dev
• https://encryptedsni.com/cdn-cgi/trace
• https://www.cloudflare.com/ssl/encrypted-sni
  

Admin

当时是因为这个问题（https://www.centbrowser.net/zh-c ... hread&tid=19092），开启ECH会导致被Cloudflare拦截，所以暂时禁用了，下个版本再开启试试。未启用ECH有什么风险没有？

S8F8ry

Admin 发表于 2025-10-9 16:05
当时是因为这个问题（https://www.centbrowser.net/zh-cn/forum.php?mod=viewthread&tid=19092），开启ECH ...

原来如此。未启用 ECH 时倒不会有风险，只是存在有隐私泄露的可能性。主要还是谷歌将 chrome://flags/#encrypted-client-hello 标志给移除掉，使得这个特性跟 DoH 是绑定在一起的，然后启用安全 DNS 后却又发现 ECH 方面的特性未生效，会让人摸不着头脑。

谷歌是从哪个版本开始删除encrypted-client-hello标志的?
还是分开的好用,因为我是在路由器上用smartdns上游接doq和doh,浏览器上就用不上doh了,单独用这个标志开ech很方便,所以我现在还是用的5.1

S8F8ry

游客 27.26.91.x 发表于 2025-11-8 18:55
谷歌是从哪个版本开始删除encrypted-client-hello标志的?
还是分开的好用,因为我是在路由器上用smartdns上 ...

从 122 版本就删掉标志，默认跟浏览器的 DoH 功能给绑定在一起了。

Admin 发表于 2025-10-9 16:05
当时是因为这个问题（https://www.centbrowser.net/zh-cn/forum.php?mod=viewthread&tid=19092），开启ECH ...

大佬既然能把ECH从DOH的绑定中解除,那应该能把ECH单独做成一个开关吧,就和旧版的encrypted-client-hello标志一样,这个还是很有用的,特别是某些被土啬的开了可以直连(不一定要doh,改host也是一样,但要开ECH)