什么是SNI (Server Name Indication)?
SNI是TLS握手过程中的一个扩展,允许客户端指定它试图连接到的服务器的主机名。
这是因为一台服务器(比如CDN服务器)可能托管多个域名。
而SNI让服务器知道客户端想要连接到哪个域名,从而返回正确的证书。
SNI信息在TLS握手的ClientHello消息中发送,这是在加密通道建立之前。
由于浏览器并不知道服务器是否需要 SNI,浏览器会对所有的 TLS 握手都加入 SNI。
什么是SNI阻断?
由于SNI信息是明文传输的(即使后续的通信是加密的),某些系统会检查TLS握手中的SNI字段。
如果SNI字段中的值与一个被禁止或被限制的列表匹配,这些系统可能会中断或阻断连接。
Mozilla 和 CloudFlare 主导了一项对 SNI 的改进方案,称为 Encrypted SNI (ESNI),后继续改进命名为ECH。
Cloudflare于2013年10月开启ECH,然后火速被下线。
但是补上当初TLS 设计中的这个缺陷(明文SNI),仍然是大势所趋。
为什么本地反代可以访问steam社区?
当你使用本地反向代理时,你实际上是在你的本地机器上创建一个服务器。
你的应用或浏览器首先连接到这个本地代理,而不是直接连接到steam服务器。
本地反代服务器(借助nginx的请求)把server_name这个字段值删掉或者改成别的字段,就顺利访问steam社区了。
参考:
https://www.zhihu.com/question/557457429
https://zhuanlan.zhihu.com/p/411165246
https://steemit.com/cn/et1672te7
https://www.cloudflare.com/zh-cn/learning/ssl/what-is-encrypted-sni/
