Web服务启用ECH
提示
前置条件
在开始本教程前,请确保您已掌握以下技能:
- Lucky 基础操作(v2.15.5+)
- DDNS 配置与管理
- SSL 证书申请与部署
- Web 服务规则设置
危险
重要声明
- 本功能为实验性服务,可能随时终止且不另行通知
- 仅限家庭网络环境合法合规使用,禁止用于:
- 商业盈利行为
- 任何违法活动
- 开发者不提供技术支持,相关问题请与社区讨论
一、Web ECH 原理解析
传统 TLS 握手流程
明文 SNI → 加密后续通信
- 风险:第三方可获取用户访问的域名(如
example.com) - 防护:仅加密通信内容,不保护域名隐私
启用 ECH 后流程
加密 SNI → 加密后续通信
- 优势:
- 完全隐藏访问域名
- 仅暴露预设代理域名
- 实现端到端隐私保护
二、环境准备清单
-
软件要求:
- Lucky 版本 ≥ 2.15.5
- 客户端浏览器需支持 DoH(推荐 Chrome 110+/Firefox 109+)
-
域名要求:
- 托管商支持 HTTPS 记录类型
- 已准备用于 ECH 的�代理域名
三、Web 服务配置指南
步骤 1:启用 ECH 功能
- 进入 Web 服务规则 → 选择定制模式
- 开启 TLS 加密
- 勾选
启用 ECH选项
步骤 2:配置代理域名
- 输入已申请证书的代理域名
- 示例:
proxy.yourdomain.com
- 示例:
- (可选)ECDH 密钥保持为空
- 保存规则配置
步骤 3:获取 ECH 配置
- 重新编辑已保存规则
- 点击
复制 ECH 配置按钮 - 记录配置信息(下文以
{ECH_CONFIG}表示)
四、DDNS 记录配置
可通过lucky DDNS模块添加/修改
方案 A:Chrome/Edge/Firefox/curl 兼容配置
适用场景:使用非 443 端口的 Web 服务 比如前端域名file.lucky666.cn,Web服务端口16666
-
记录类型 HTTPS
-
记录名/域名格式:
_[PORT]._https.[FRONTEND_DOMAIN]
示例:_16666._https.file.lucky666.cn
- 记录内容:
1 [FRONTEND_DOMAIN] ech={ECH_CONFIG}
示例:1 file.lucky666.cn ech=AQAA...(粘贴复制的配置)
方案 B:Firefox/curl 兼容配置
比如前端前端域名file.lucky666.cn,Web服务端口16666 此方案虽然简单,但Chrome/edge不兼容,所以不推荐。
- 记录名/域名格式:
*.[BASE_DOMAIN]
示例:*.lucky666.cn
- 记录内容:
1 . ech={ECH_CONFIG}
示例:1 * ech=AQAA...(粘贴复制的配置)
五、故障排查与注意事项
-
生效延迟:
DNS 记录变更需等待 TTL 过期(通常 10-60 分钟)
-
浏览器兼容:
禁用 SwitchyOmega 等代理插件
确保启用 DoH(国内可用https://223.6.6.6/dns-query ,https://doh.pub/dns-query) -
状态验证:
检查子规则访问日志中的 ECH 字段状态
true:ECH 生效
false:客户端未使用ECH方式 -
证书管理:
代理域名需提前部署有效 SSL 证书
证书过期会导致 ECH 完全失效
- 所有 ECH 相关问题请在社区讨论,开发者不提供直接支持。