Titikey
Trang chủTitikeyAdGuard 7.5 ra mắt: Giải mã toàn diện công nghệ mã hóa ECH bảo vệ quyền riêng tư

AdGuard 7.5 ra mắt: Giải mã toàn diện công nghệ mã hóa ECH bảo vệ quyền riêng tư

7/7/2026
Trong khi nhiều người nghĩ HTTPS đã an toàn tuyệt đối, AdGuard với bản cập nhật dòng 7.5 (Windows xác nhận là 7.17, Android và Mac đồng bộ nâng cấp CoreLibs) đã bổ sung thêm một mảnh ghép bảo vệ quyền riêng tư: hỗ trợ thử nghiệm **Encrypted ClientHello (ECH)** tiến thêm một bước lớn, đồng thời mang tính năng lọc tức thời DNS-over-HTTPS đến tất cả thiết bị. Nếu bạn từng băn khoăn "nhà mạng thực sự thấy được tôi truy cập trang web nào?", bản cập nhật này đáng để bạn dành năm phút tìm hiểu.

ECH thực chất là gì? Tại sao nó được gọi là mảnh ghép cuối cùng của quyền riêng tư

Mỗi khi mở một trang web HTTPS, trình duyệt sẽ gửi lời chào đến máy chủ – đó là thông điệp ClientHello trong quá trình bắt tay TLS. Vấn đề là, dù nội dung trang được mã hóa hoàn toàn, lời chào đầu tiên này lại **hiển thị rõ ràng tên miền bạn muốn truy cập** (Server Name Indication – SNI). Nhà mạng, quản trị WiFi sân bay, thậm chí thiết bị nghe lén trong hành lang đều có thể thấy bạn đang truy cập `example.com` – dù không biết bạn làm gì bên trong, nhưng "bạn đi đâu" thì không có bí mật. ECH giải quyết vấn đề này. Nó mã hóa toàn bộ ClientHello, chỉ bạn và máy chủ đích mới giải mã được; người ở giữa chỉ thấy bạn kết nối đến một nút CDN hỗ trợ ECH nào đó, nhưng trang web cụ thể là gì – hãy đoán đi. Nói cách khác, ECH giúp HTTPS đạt được mã hóa toàn trình từ gói tin đầu tiên đến gói tin cuối cùng.

AdGuard 7.5 thực hiện điều này như thế nào? ECH toàn cục, không phụ thuộc trình duyệt

Trước đây, ECH chỉ có thể hoạt động nhờ trình duyệt đơn lẻ – ví dụ Chrome hoặc Firefox bật tùy chọn thử nghiệm – và phải phụ thuộc vào trang web hỗ trợ. Cách tiếp cận của AdGuard hoàn toàn khác: can thiệp trực tiếp ở cấp hệ thống vào luồng dữ liệu. Trong nhật ký cập nhật phiên bản Android, nhà phát triển thậm chí còn đùa: "Bước đầu tiên để hỗ trợ ECH hóa ra là học cách 'kìm hãm' nó". Vì AdGuard có một công tắc nội bộ `pref.dns.block.ech`, kết hợp với `pref.https.redirect.doh` có thể chặn các yêu cầu ECH gốc trước, sau đó AdGuard tự thiết lập lại một kết nối thực sự hỗ trợ ECH. Nhờ đó, **bất kỳ ứng dụng hay trình duyệt nào trên điện thoại, miễn là luồng dữ liệu đi qua AdGuard, đều được hưởng lợi ích về quyền riêng tư từ ECH** – hoàn toàn không cần chờ nhà phát triển ứng dụng tương thích. Phiên bản Windows 7.17 và Mac 2.10 cũng tích hợp tính năng thử nghiệm này. Và để ECH hoạt động trơn tru, lần đầu tiên AdGuard **bật lọc DNS mặc định**. Lý do rất đơn giản: các tham số mã hóa cần cho ECH phải lấy từ bản ghi DNS HTTPS; nếu không dùng mô-đun bảo vệ DNS riêng của AdGuard, không thể lấy các tham số này tại chỗ để hoàn tất mã hóa toàn cục.

Ba bước kiểm tra ECH của bạn có thực sự hoạt động hay không

AdGuard cung cấp một phương pháp xác minh cực kỳ đơn giản:
  1. Trong cài đặt nâng cao, đảm bảo Block ECH ở trạng thái tắt, đồng thời DNS Protection đã được bật.
  2. Bật tùy chọn thử nghiệm Use Encrypted ClientHello (trên Windows/Android nằm trong "Cài đặt nâng cao", trên Mac trong cấu hình liên quan đến mạng).
  3. Truy cập crypto.cloudflare.com/cdn-cgi/trace, nếu thấy sni=encrypted; hoặc vào www.cloudflare.com/ssl/encrypted-sni/ thấy SSL_ECH_STATUS: success, tức là ECH đã chạy thành công.
Nếu kiểm tra không đạt, đừng vội lo lắng: hiện tại ECH yêu cầu máy chủ cũng hỗ trợ (hầu hết trang web thuộc Cloudflare đã bật), và vì là tính năng thử nghiệm, đôi khi ảnh hưởng nhẹ đến tốc độ duyệt – đội ngũ phát triển đang tối ưu hiệu năng cho phần này.

Không chỉ ECH: Lọc tức thời DoH và nâng cấp động cơ nền tảng

Bản cập nhật dòng AdGuard 7.5 mang lại nhiều cải tiến về quyền riêng tư ngoài ECH. Động cơ lọc CoreLibs được nâng từ v1.12.80 lên v1.14.59, giới thiệu một số cải tiến mạnh mẽ:
  • Lọc DNS-over-HTTPS tức thời (On-the-fly): Trước đây, việc lọc các yêu cầu DoH khá thụ động. Sau bản cập nhật này, AdGuard có thể chặn và chuyển hướng các yêu cầu DNS bảo mật đến proxy cục bộ theo thời gian thực, ngăn chặn khả năng DoH vượt qua bộ lọc – nghĩa là mọi ứng dụng cố gắng lén dùng DNS mã hóa để trốn tránh sẽ bị tóm lại.
  • ECH GREASE và trích xuất tham số: Trích xuất cấu hình ECH từ các truy vấn DNS HTTPS bị chặn, đồng thời chèn giá trị GREASE vào luồng dữ liệu để các phần mềm trung gian không hỗ trợ ECH không gây nhiễu loạn, đồng thời giúp các kết nối hỗ trợ ECH hoạt động trơn tru.
Trang chủCửa hàngĐơn hàng