Fexyn
Fexyn

قاموس

ما هو SNI (Server Name Indication)

حقل في handshakes TLS يخبر الخادم باسم المضيف الذي تحاول الوصول إليه — في نصّ واضح، مرئي لأي طرف يراقب.

Server Name Indication — SNI — هو حقل في TLS handshake. عندما يتصل متصفّحك بموقع عبر HTTPS، يرسل قيمة SNI غير مشفّرة في الرسالة الأولى: "أريد التحدّث إلى www.example.com." الخادم يستخدم ذلك لاختيار الشهادة الصحيحة (مواقع متعدّدة غالبًا تشارك IP عبر virtual hosting)، ثم الطرفان يضعان التشفير لكل ما يلي.

المشكلة: SNI نصّ واضح. أي طرف يراقب السلك — مزوّد الإنترنت لديك، Wi-Fi المقهى، صندوق DPI — يرى اسم المضيف. حتى لو كان كل بايت بعد handshake مشفّرًا، فإن النطاق المقصود في وضع الواضح وقت الاتصال.

لماذا يوجد SNI

قبل SNI، كل موقع HTTPS احتاج إلى عنوان IP خاص به. الخادم استلم handshake مشفّرًا ولم يستطع تحديد أي شهادة يقدّم. SNI أصلح ذلك بإضافة المضيف إلى الجزء غير المشفّر من handshake. الآن مئات المواقع يمكن أن تتشارك IP — الخادم يقرأ SNI، يختار cert المطابق، يكتمل handshake.

هكذا تعمل shared hosting وحركة CDN على المقياس. Cloudflare وFastly وAkamai كلها تخدم ملايين النطاقات من مجموعة صغيرة من IP. SNI هو ما يجعل ذلك ممكنًا.

ماذا يكشف SNI

حتى مع HTTPS كامل:

  • مزوّد الإنترنت لديك يعرف كل نطاق تزور.
  • شبكة صاحب العمل تعرف.
  • معدّات المراقبة الحكومية تعرف.
  • أي طرف يشغّل DPI على المسار يعرف.

محتوى الصفحة مشفّر. الوجهة ليست. للخصوصية من الشبكة، هذه القناة الجانبية تهزم منطق "لكن HTTPS يحميني".

Encrypted SNI: نشر بطيء

Encrypted Client Hello (ECH) وESNI الأقدم يحاولان تشفير اسم المضيف لكي لا تستطيع الشبكة قراءته. كلاهما يعمل بتشفير SNI بمفتاح ينشره الخادم عبر DNS.

التبنّي جزئي:

  • Cloudflare يدعم ECH.
  • Firefox يدعم ECH (مغلق افتراضيًا في بعض المناطق).
  • Chrome لديه دعم تجريبي.
  • معظم CDNs والمواقع الكبيرة لم تنشر.

حتى يصبح ECH موجودًا في كل مكان، SNI يتسرّب. وفي شبكات تجري DPI قوي، حتى المتصفّحات التي تستخدم ECH تُفلتر أو تُخفّض — الرقيب يستطيع كشف محاولة ECH وحجبها.

كيف يستخدم VLESS Reality SNI ليختفي

VLESS Reality يأخذ SNI ويحوّله إلى تمويه. SNI الخاص بـ handshake هو SNI لموقع عام فعلي مثل microsoft.com. الشهادة المعادة هي شهادة microsoft.com الحقيقية، موقَّعة من قبل CA الحقيقية. لـ DPI الذي يراقب السلك، هذا الاتصال غير قابل للتمييز عن أي جلسة HTTPS أخرى لـ microsoft.com — نفس SNI، نفس cert، نفس توقيت handshake.

للحجب، يجب على الرقيب حجب microsoft.com — وهو ما لن يفعلوه عمومًا، لأن حركة كثيرة أخرى تعتمد عليه. هذا الفرق الهيكلي بين Reality وVPN "obfuscated" التي تحاول تزييف TLS handshake. Reality يستخدم حقيقيًا.

اقرأ Deep packet inspection، شرح لكيفية ملاءمة هذا في الصورة الأوسع للرقابة، أو صفحة بروتوكول VLESS Reality لتفاصيل التنفيذ.

جرّب Fexyn مجانًا لمدة 7 أيام — Stealth يستخدم SNI حقيقي لمضيفات عامة لكي يرى DPI HTTPS عاديًا، لا VPN.

مصطلحات ذات صلة

جرّب Fexyn مجانًا لمدة 7 أيام

تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.

الأسعار
ما هو SNI (Server Name Indication) | Fexyn VPN