<div dir="auto">Hi everyone,</div><div dir="auto"><br></div><div dir="auto">Cloudflare has added support to TLS 1.3 for encrypted server name indication (SNI). This mailing list post is a high level overview of how meek could take advantage of this in relation to Cloudflare who until just now wasn’t an option for domain fronting.</div><div dir="auto"><br></div><div dir="auto">What this means:</div><div dir="auto">Effectively domain fronting works by sending a different SNI and host header. CDN providers like Cloudflare started double checking to make governments happy, scratch that line, I mean to protect their customers from fraud and abuse. They seem to of backtracked now. Encrypted SNI means that a firewall or coffee shop owner won’t be able to use SNI to see the real origin of TLS traffic.</div><div dir="auto"><br></div><div dir="auto">Why this matters:</div><div dir="auto">With the right adjustments for TLS 1.3 and Encrypted SNI support, Cloudflare may be a viable option for Meek.</div><div dir="auto"><br></div><div dir="auto">Risks:</div><div dir="auto">* Firewall products could always use DPI and block TLS 1.3 altogether.</div><div dir="auto">* Firewall products could block all requests with encrypted SNI.</div><div dir="auto"><br></div><div dir="auto">Thoughts anyone?</div><div dir="auto"><br></div><div dir="auto">References:</div><div dir="auto">* <a href="https://blog.cloudflare.com/encrypted-sni/" target="_blank">https://blog.cloudflare.com/encrypted-sni/</a><div dir="auto">* <a href="https://blog.cloudflare.com/esni">https://blog.cloudflare.com/esni</a></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br><div dir="auto"><br></div><div dir="auto"><br></div></div></div>