亲测发现,对于不使用 Cloudflare NS 的自定义主机域名启用 ECH 只需要复制回退源( Fallback Origin)的 HTTPS 记录(包含 `ech=AEX+....`)添加到自定义域名即可开启 SNI 加密。
操作:
1 查询回退源 https 记录
```
dig +short your-fallback-origin.com https
```
2 在 dnspod 、阿里云解析... 添加 HTTPS 记录。
3 校验:打开 [/cdn-cgi/trace](/cdn-cgi/trace),看到 sni=encrypted ( ech 不支持浏览器使用透明代理)
其他问题:
- `ech=AEX+....` 包含一串未知内容 base64 编码的二进制。同一个 cloudflare 接入域名下的每个主机的 ech 值完全一至。猜测跟主机名没关系,应该是通用的。 |
|
