关于配置Reality的加分项
加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling。
配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)。
如何找到一个适合 REALITY 配置的目标网站?
要求:
-
「安全」选项卡查看以下内容,显示 已使用 TLS 1.3 、X25599 为符合要求的网站,其他不符合。
-
「网络」选项卡需要先刷新页面,在表头空白处点击右键,勾选协议,如协议列中出现 H2 为符合要求的网站,没有出现则不符合。
方法1
打开https://bgp.tools/
输入你的VPS的IP地址
然后点DNS选项卡,选Show Forward DNS。
下面有你同网段一堆域名给你选,然后挑几个域名,点进去,然后用浏览器的开发者工具看看是不是TLS 1.3以及X25519证书的。
好处是:同网段、网站都够冷门、延迟都在1ms内偷证书速度飞快。
方法2
https://myip.ms/ 输入自己vps的ip地址,然后点击Other Sites on IP。
往下滑找到Known Websites between或Websites IP Address Change History for IP即可。
方法3
https://www.ssllabs.com/ssltest/
找到Recent Best中的A+网站,再按照要求测试即可。若没有找到合适的网站刷新再次寻找即可。
方法4
使用RealiTLScanner项目扫描Reality的回落域名
1、打开项目地址:RealiTLScannerhttps://github.com/XTLS/RealiTLScanner ,点击 Release 选择适合自己电脑系统的版本进行下载。
2、在程序目录打开命令行,输入以下命令
|
|
提示:请将 .\RealiTLScanner-windows-64.exe 替换成实际的文件名,1.1.1.1 替换成 VPS 的 IP 地址。
3、程序会帮助我们扫出了很多符合 Reality 回落域名条件的域名,如果觉得域名够多够合适的话,可以使用 Ctrl + C 退出扫描工具。
4、在工具的输出结果中,随便选一个域名,然后使用验证回落域名的方法再次验证,可以看到扫描出来的域名已经是符合当回落域名的条件了。
5、验证回落域名的方法:
打开Chrome,进入待测网页。按下F12键,转到Secure选项卡。在Connection下出现TLS 1.3,X25519字样即代表网页支持 TLSv1.3 协议、并且使用的是 x25519 证书。
转到Console选项卡,输入这个命令 window.chrome.loadTimes(),查看 npnNegotiatedProtocol 的值是否为 h2,如果是的话就代表使用的是 H2 协议
ocsp stapling检测(加分项)
若网站不支持也没关系,属于是加分项。
根据以上的方法找到目标网站后,查询目标网站是否支持 OCSP Stapling,点击查询网站来查询。
本文部分转载至NgaiYeanCoi’s Blog关于配置Reality的加分项