waf-platform/EdgeHttpDNS/SNI隐匿开发计划.md

SNI隐匿开发计划（HTTPDNS专项）

0. 目标

在明文网络层（DNS 与 TLS ClientHello）中不出现真实业务域名；真实业务域名仅出现在加密后的 HTTP 层（Host / :authority）中传输。

1. 固定原则

1. 只做 SNI 隐匿能力，不引入其他无关能力描述。
2. 客户端不走系统 DNS 解析业务域名。
3. TLS 握手阶段不发送真实业务域名 SNI。
4. CDN/WAF 节点必须支持“空SNI接入 + Host路由”。
5. 真实域名只在 HTTPS 加密通道内携带。

2. 端到端链路（目标形态）

1. App 调用 SDK，请求解析业务域名。
2. SDK 从 HTTPDNS 获取业务域名对应的“接入 IP 列表”（不是业务域名 DNS）。
3. SDK 直连接入 IP 发起 TLS：
   • SNI 置空（或不发送）
   • 不出现真实业务域名
4. TLS 建立后发起 HTTPS 请求：
   • Host / :authority = 真实业务域名
5. CDN/WAF 节点在解密后读取 Host，将流量路由到对应业务源站。

3. SDK 改造要求

3.1 连接行为

1. 提供“按 IP 直连”的请求通道。
2. TLS 握手时固定空 SNI，不允许带真实域名。
3. HTTP 层强制写入真实 Host / :authority。

3.2 证书校验

1. 仍必须做证书链校验（不允许关闭 TLS 安全校验）。
2. 证书校验目标为接入层证书（CDN/WAF 对外证书），而非业务源站证书。

3.3 多IP与容错

1. HTTPDNS 返回多个接入 IP 时，SDK 按顺序/策略重试。
2. 连接失败可切换下一 IP。
3. 缓存与过期策略保持稳定，避免频繁抖动。

3.4 多端一致性

1. Android/iOS/Flutter 需保证一致行为：
   • 空 SNI
   • Host 注入
   • 失败重试策略
2. 文档与示例代码同步更新。

4. CDN/WAF 节点改造要求

4.1 TLS 接入

1. 支持无 SNI ClientHello 的 TLS 握手。
2. 为接入域名部署有效证书（覆盖客户端连接目标）。

4.2 路由逻辑

1. 以 Host / :authority 作为业务路由主键。
2. 路由匹配前做标准化：
   • 小写化
   • 去端口
3. Host 未命中时返回明确错误（4xx），禁止兜底到默认站点。

4.3 回源行为

1. 节点到源站可继续使用 HTTPS 回源。
2. 回源主机名与证书校验按现有网关策略执行。

4.4 可观测性

1. 增加日志字段：
   • tlsSniPresent（是否携带 SNI）
   • host
   • routeResult
2. 可按“空SNI请求占比、Host路由命中率”监控。

5. 控制面（管理端）要求

1. 页面仅展示“已启用 SNI 隐匿（空SNI）”，不提供策略切换。
2. 集群侧需可检查“节点是否支持空SNI接入”。
3. 发布配置时支持灰度与回滚。

6. 验收标准

1. 抓包验证：
   • DNS 明文流量中不出现真实业务域名
   • TLS ClientHello 中不出现真实业务域名 SNI
2. 请求验证：
   • HTTPS 请求 Host 为真实业务域名
   • CDN/WAF 按 Host 正确路由
3. 稳定性验证：
   • 多 IP 切换成功
   • 节点故障时请求可恢复

7. 上线顺序

1. 先升级 CDN/WAF 节点能力（空SNI接入 + Host路由）。
2. 再升级 SDK（空SNI + Host注入）。
3. 最后按应用灰度开启，观察指标后全量。

8. 风险与约束

1. 若 CDN/WAF 不支持空 SNI，链路会在握手阶段失败。
2. 若 Host 路由不严格，可能出现串站风险。
3. 若客户端错误关闭证书校验，会引入严重安全风险。