Cloudflare在27号。2010年9月开始。从那以后，我们一直在研究27。九月是我们的生日。下周四我们就八岁了老的。从那以后我们的一岁生日我们借此机会展示新产品或服务。这些年来，我们得出的结论是，为了庆祝我们的生日，我们不应该把我们可以赚钱的产品投放市场，而应该给我们的用户和整个互联网提供一些东西。我的联合创始人米歇尔（Michelle）昨天在一篇关于这一传统的博客文章中写道，就我个人而言，我在Cloudflare最自豪的时刻之一是，我们在2014年生日当天为所有用户免费提供了HTTPS支持。那时候，人们一再地称我们为疯子。老实说，我们内部也讨论过我们是否疯了，因为加密是人们从免费账户转到支付账户的主要原因是的。但是这是正确的方法。我们认为，加密从一开始就没有集成到网络中，这是一个错误。如今，几乎整整四年过去了，由于Let'sEncrypt、谷歌、苹果、微软和Mozilla浏览器团队等伟大项目的开创性作用，以及越来越多的托管和SaaS提供商提供对HTTPS的免费支持，网络加密率几乎达到80%。我感到骄傲的是，我们在发展这一趋势方面发挥了主导作用。今天。今天又是一天，我想自豪地回顾过去，因为今天我们将希望开始一个新的趋势，将使加密的网络更加私人和安全。要理解这一点，首先需要理解加密的web为什么仍然会泄露大部分浏览器历史记录s、 怎么回事你的浏览器历史记录是私有的吗？当你通过HTTPS访问一个网站时，你希望没有人在收听你和你的目标之间的连接时能看到你在做什么。在某种程度上，这也是事实。当您访问您的银行网站时，HTTPS确保发送到或从网站接收的内容（例如您的用户名和密码或您的银行帐户余额）不会传递给您的ISP或其他监视您网络连接的人员。它们被发送到或由HTTPS站点接收，都是受保护的，您访问过该站点的事实可以通过各种方式轻松跟踪。其中一种可能是传统上通过DNA。DNS查询在默认情况下是未加密的，这样您的ISP或其他人可以看到您的联机位置。为此，去年4月，我们推出了1.1.1.1，这是一个免费（而且速度非常快）的公共DNS解算器，它支持TLS上的DNS和HTTPS上的DNS。1.1.1.1非常成功，我们能够通过加密连接发送DNS查询的百分比，显著增加。然而，批评者正确地指出，你访问的网站的身份仍然可以通过其他弱点来追踪。其中最有问题的是所谓的服务器名称指示扩展（SNI），为什么是SNI？原则上，SNI在那里，这样你就可以在一个IP地址下托管几个加密的网站。早期的浏览器不包含SNI扩展。当请求建立HTTPS连接时，web服务器没有太多信息，只能为web服务器侦听的每个IP地址检索一个SSL证书。其中之一这个问题的解决方案是创建具有多个备用名称（使用者备用名称）的证书SAN）。这些证书加密多个域的流量，这些域都可以托管在同一个IP上。这就是Cloudflare处理来自不支持SNI的旧浏览器的HTTPS访问的方式。但是，我们将此功能限制在付费客户身上，原因与SAN不是一个好的解决方案相同：SAN是一种黑客攻击，很难管理，如果他们有太多的域，则会降低性能SNI公司作为解决方案，可扩展性更好。在我看来，一个很好的类比就是一个信封。信封的内容受到保护，邮递员看不见。不过，信封外面是写有街道和门牌号的地址，正是这一点，邮递员把信封送到了正确的大楼。在因特网上，网络服务器的IP地址对应于街道和门牌号。然而，住在多户人家里，光是街道和门牌号还不足以将信封送到合适的收件人手中。地址应附有公寓号码或收件人姓名。这相当于SNI。当一个web服务器托管多个域时，SNI确保请求被转发到正确的网站，这样就可以返回正确的SSL证书来加密和解密所有内容。好奇的人网络SNI规范由IETF于2003年推出，在接下来的几年里，浏览器提供了支持。当时，这似乎是一个可以接受的妥协。大部分互联网流量是未加密的。添加一个可以更容易地通过加密支持的TLS扩展似乎是一个伟大的步骤，即使这个扩展本身没有加密是的。如今，HTTPS几乎占到了整个web流量的80%。SNI将传递给您的ISP和任何其他人谁监听连接，每一个网站你呼吁在线已成为一个公然的隐私政策。如果你知道你访问了哪些网站，你就可以非常准确地了解你是谁。这将导致数据保护和安全风险。根据美国联邦通信委员会（FCC）在奥巴马政府结束前不久通过的规定，对互联网服务提供商收集客户上网行为数据有短期限制。不过，ISP成功游说国会，2017年4月，特朗普总统签署国会决议，取消这些保护措施。随着媒体和广告目标公司越来越多地被ISP接管，他们有机会分析流经其生产线的数据。对这些公司来说，这是一项越来越有吸引力的业务，但对我们所有人来说，这对隐私构成了越来越令人不安的威胁。好了。那个SNI Privatspheres关闭5月份，在1.1.1.1发布一个月后，我读了一篇关于我们新服务的报道。虽然文章称赞了1.1.1.1有助于保护隐私，但却得出了一个虚无缥缈的结论：所有这些都是徒劳的，因为ISP仍然可以通过监控SNI来监视我们。沮丧之余，我很快给一些Cloudflare开发人员和Mozilla的高级团队写了一封电子邮件，我们正在和他们一起研究一个加密DNA的项目。我关闭了我的电子邮件与：我的简单需求说明：如果Firefox连接到Cloudflare IP，我们会在发送SNI之前给它一个公钥来加密SNI条目。如何将此扩展到其他提供商？我不知道，但我们得从某个地方开始。粗略的共识和可行的代码，对吗？事实证明事情有点复杂。然而，今天，我很自豪地告诉您，加密的SNI（ESNI）在Cloudflare网络中是实时的。我们预计Mozillas Firefox将在其夜间版本中支持新协议，作为本周的第一款浏览器。在接下来的几个月里，它计划成为主流。不仅仅是Mozilla。所有重要的浏览器都有很大的兴趣，我相信随着时间的推移，每个浏览器都将支持ESNI是。在我们是第一个支持ESNI的，但我们并不是单独开发的。我们与来自苹果、Fastly、Mozilla和其他业内人士的优秀团队一起致力于ESNI，他们和我们一样关注互联网上的数据保护。Cloudflare是第一个支持ESNI的内容网络，但它不是一个专有协议。它正在作为一个IETF-RFC进行工作，我们希望其他人能帮助我们将设计正式化并实现该标准。如果您对ESNI背后的技术细节感兴趣，您可以从我的同事alesandroghedini刚刚发表的一篇很棒的博客文章中了解到更多。当本周末开始支持浏览时，您可以使用我们实用的ESNI测试工具测试。之前四年来，我为我们促成了一种趋势而感到骄傲，这一趋势导致今天几乎整个网络都被加密。我希望今天我们能再次为这一趋势做出贡献，这次是为了使加密的网络更加私密，更加安全。订阅您将收到博客，您将收到我们所有生日周公告的每日更新。