服务端分入口层和出口层,入口层由 Apple 控制,出口层由另一供应商(目前似乎是 cloudflare)控制。在使用非对称加密后,入口层和 ISP 仅知道用户真实 IP,无法获知目标地址。而出口层只知道目标地址不知道用户 IP。
不可以和 VPN 或 proxy 同时使用。
代理流量使用 HTTP/3 QUIC 协议,UDP/443。
仅对 Safari、DNS 和应用的 HTTP 流量(非 HTTPS)有效。这是为什么很多人测试发现只有 Telegram 被代理了,因为 TG 的 API 是用 HTTP 作为传输层的。
Apple 之后会公布该服务涉及的域名和出口 IP。WiFi 提供者可以屏蔽掉特定域名以禁用该服务。
这相当于中间加了2层代理了。苹果的代理服务器作为中间人,cloudfalre做为出口,苹果真是财大气粗。