Glossário
VLESS Reality vs Trojan-GFW
Os dois fazem handshakes TLS reais. Trojan usa seu próprio certificado; Reality usa o de terceiros. Reality sobrevive a comparação de Certificate Transparency; Trojan cada vez menos.
Trojan-GFW (lançado em 2019) e VLESS Reality (lançado em 2023) miram o mesmo problema e usam abordagens relacionadas mas diferentes. Reality é o sucessor arquitetural; Trojan ainda funciona em alguns ambientes mas é cada vez mais detectável.
Resumo
| Trojan-GFW | VLESS Reality + Vision | |
|---|---|---|
| Lançamento | 2019 | 2023 |
| Handshake TLS | Real, pro seu próprio domínio | Real, pra domínio público de terceiros |
| Certificado | Seu próprio (Let's Encrypt típico) | Cert real de terceiros (Microsoft, etc.) |
| Resposta a active probing | Seu próprio servidor placeholder | Site de terceiros real |
| Vulnerabilidade Certificate Transparency | Sim — seu cert está em logs CT | Não — você não controla o cert |
| Complexidade de setup | Moderada | Maior (configuração de host de camuflagem) |
| Taxas de detecção (China/Rússia 2026) | Moderada, subindo | <5% |
O modelo Trojan
Trojan faz um handshake TLS 1.3 real pra um servidor que você controla, usando um certificado que você obteve (Let's Encrypt tipicamente). Clientes autenticados tunelam; conexões não autenticadas (active probers) recebem um site placeholder que você também configura.
A defesa: o handshake é real, o certificado é real, o site placeholder é real. Pra observação passiva, isso parece HTTPS comum pro seu domínio.
A vulnerabilidade: Certificate Transparency. Logs CT contêm todo certificado TLS emitido por CAs principais. Se um active prober do censor obtém seu certificado durante uma sondagem, ele pode comparar com o que registros CT dizem sobre seu domínio — e o padrão de cert do seu deployment Trojan é reconhecível.
Especificamente: um site de produção real tipicamente tem um certificado válido por meses ou anos, foi renovado várias vezes, tem um campo de organização estilo corporativo. Um deployment Trojan tipicamente tem um cert Let's Encrypt emitido dias ou semanas atrás pra um domínio sem outro histórico de cert de produção. O padrão é uma flag.
Deployments DPI sofisticados — GFW da China, cada vez mais outros — olham registros CT durante active probing e detectam deployments Trojan por esses padrões. A detecção não é perfeita mas é significativa.
O modelo Reality
Reality NÃO usa seu próprio certificado. O servidor Reality encaminha o certificado de um site público real (microsoft.com, cloudflare.com, apple.com). Clientes autenticados tunelam dentro da sessão TLS estabelecida; conexões não autenticadas recebem proxy transparente pro site público real.
O certificado que o active prober vê é o certificado real da Microsoft (ou Cloudflare, ou Apple). Registros CT casam. O certificado é o que usuários reais veem ao conectar nesse domínio. Não há mismatch cert-vs-CT estilo Trojan porque não há falsificação.
O custo é operacional: Reality requer que o servidor mantenha proxy TLS em tempo real pro host de camuflagem. A configuração é mais complexa que Trojan.
Resistência a active probing
Os dois protocolos lidam com DPI passivo similarmente — handshake TLS real significa entropia e timing casam com normas de HTTPS. A diferença está em active probing.
Trojan: prober conecta, recebe seu site placeholder, pode comparar seu certificado contra CT por inconsistências. Vulnerável.
Reality: prober conecta, recebe proxy transparente pro site real da Microsoft, vê certificado Microsoft real, vê resposta Microsoft real. Indistinguível de uma visita normal à Microsoft.
Essa é a vantagem estrutural que Reality tem sobre Trojan. A assimetria de detecção vem crescendo conforme detecção baseada em CT amadurece.
Vision flow
Reality com o Vision flow (xtls-rprx-vision) elimina ainda mais o padrão TLS-em-TLS visível em análise de tráfego. Trojan não tem equivalente; o padrão TLS-interno-dentro-de-TLS-externo é detectável via análise de tráfego mesmo com handshakes individualmente reais.
Pra usuários em mercados onde detecção por análise de tráfego é sofisticada (China especificamente, cada vez mais a Rússia), Reality + Vision é significativamente mais resistente que Trojan.
Quando cada um funciona
Trojan: ambientes de censura de dificuldade média. Filtragem do Irã pega alguns deployments Trojan; a dos EAU pega alguns. O padrão: self-hosters sofisticados mantendo higiene cuidadosa de domínio têm vida útil mais longa do Trojan; deployments casuais falham mais rápido.
Reality: todos os mercados onde Trojan falha. China, Rússia, Irã, EAU, Arábia Saudita, Paquistão. Mais o resto dos mercados onde Trojan ainda funciona (Reality também funciona ali).
Em 2026, a recomendação prática é Reality. Trojan ainda tem alguma vida útil operacional mas a trajetória de detecção é desfavorável.
Self-hosting
Trojan é mais fácil de self-hostear. Tooling padrão, configuração mínima além de domínio + certificado.
Reality requer escolher um host de camuflagem, configurar a lógica de proxy, gerenciar o Vision flow, escolher e rotacionar shortIds. Tooling especializado (XRay-core); mais partes em movimento.
Pra usuários que querem self-hostear com simplicidade máxima, Trojan é mais amigável. Pra usuários que querem resistência máxima a detecção, Reality é melhor apesar da complexidade.
O que o Fexyn entrega
Reality com o Vision flow como Fexyn Stealth. Não entregamos Trojan como protocolo primário porque Reality é operacionalmente melhor nos nossos mercados-alvo. Alguns provedores comerciais oferecem os dois como opções configuráveis de protocolo.
Experimente o Fexyn grátis por 7 dias — Reality + Vision em todo plano.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços