ECH (Encrypted Client Hello) es una extensión del protocolo TLS (Transport Layer Security) con el que funcionan las webs HTTPS, que soluciona el grave problema de privacidad que supone que el navegador indique dentro del campo SNI (Server Name Indication) en texto plano el nombre del dominio al que quiere acceder, lo que lo hace visible a terceros. Este problema es aprovechado por los sistemas de filtrado de contenidos para averiguar el dominio al que accede el usuario y aplicar bloqueos selectivos.
Comentarios
Sitio web para probar si está funcionando:
https://www.cloudflare.com/ssl/encrypted-sni/
El ECH sería el apartado de "Secure SNI".
#11 Detalle del que me he dado cuenta: este test solamente resulta en DNS Seguro como positivo al usar DNS sobre HTTPS. A los que usamos DNS sobre TLS nos da un resultado intederminado.
Tu navegador debe estar actualizado al menos a la versión 117. [...] Puedes acceder directamente a esta opción con la URL chrome://flags/#encrypted-client-hello . Ahora pulsa en el selector de la derecha donde pone Default y selecciona Enabled.
#1 "Para que ECH funcione, deben soportarlo tanto el navegador como el servidor"
Mi pregunta entonces es: si activo el ECH en mi navegador, e intento a acceder a un sitio web cuyo servidor no soporta el ECH, ¿me encontraré entonces que me es imposible acceder a ese sitio web? Porque, si es así, entonces ya no interesa tanto activar el ECH.
#7
relacionada:
Chrome ya soporta ECH y Cloudflare lo activa en toda su red, dejando fuera de juego a los bloqueos de LaLiga y La Coalición
https://bandaancha.eu/articulos/chrome-cloudflare-adoptan-ech-dejando-10688
#8 Vale, pero el problema es que Cloudflare no es todo internet, y entonces uno se puede ver en la necesidad de andar constantemente activando y desactivando ECH para poder entrar en todas las webs.
#9 el problema es que Cloudflare no es todo internet
Los servicios que se vean afectados por bloqueos y quieran que eso no les afecte a sus potenciales usuarios tienen la opción de elegir cloudflare como servicio intermedio para la distribución de sus contenidos.
uno se puede ver en la necesidad de andar constantemente activando y desactivando ECH para poder entrar en todas las webs
No me consta que el servicio ECH tenga un impacto negativo en el acceso a otras webs, si tienes alguna fuente que avale esa hipótesis te agradecería que la aportases.
#10 Hola disculpa. Una pregunta. He seguido los pasos y me funciona en Chrome y firefox en un portátil, pero en otro ordenador con la misma configuración no hay manera...¿qué puede ser?gracias
#41 Prueba el enlace que pusopkreuzt en ambos equipos a ver que te dice:
https://www.cloudflare.com/ssl/encrypted-sni/
Puede que sean los DNS.
#43 Coño qué rápido. Gracias. Sí, se ve ahora en firefox, pero por ejemplo no en Opera.
#10 Y en algunos casos ni siquiera me aparece el test, me aparece:
#42 Prueba en modo incognito.
#44 Sí, con ventana privada tb en Opera. Eso es pq tengo que borrar el caché?
Eso sí, en un portátil sigue sigue dando mal el test para firefox, chrome y opera. Y eso que he seguido los mismos pasos que con el portátil del curro que si que va.
#46 Sugerencia, que no sé si te funcionará: para el test, desactiva todos los posibles bloqueadores de scripts que tengas, y desactiva todas las medidas de seguridad que tenga tu navegador.
#57 Sí, probaré, pero en ambos PCs tengo los mismos bloqueadores y complementos. Lo que sí he observado es que si uso VPN, ambos (DNS y SNI) no pasan la prueba. Imagino que la información irá al servidor de la VPN.
En cuanto a mi PC no entiendo pq con la misma configuración que el de trabajo no funciona siguiendo los pasos del meneo y algún comentario para aplicarlo en firefox.
#9 estaría bien saberlo.
Si el protocolo este bien diseñado tal vez permita la negociación en la primera conexión, y si no responde adecuadamente, hacer un downgrade de la misma y funcionar sin en protocolo
#7 El "servidor" se refiere al DNS, no al sitio web que quieres visitar. Si usas un servidor DNS que lo soporte y lo activas en el navegador, ya está.
#12 Ah, esa observación es importante. Entonces opción "secure DNS" con Cloudflare.
#13 No espera, creo que me he confundido. He mezclado el cifrado de la resolución DNS con el cifrado de la web. Tengo que mirar esto un poco más a fondo, que mi caso es un poco particular.
#14 conociéndote igual te has montado tu propio servidor dnd con 15, capas de seguridad y c4 por si alguien trata de acceder a el
#50 Casi casi. Es un servidor Unbound, DNS sobre TLS, DNSSEC y caché Redis. El C4 está dificil de conseguir que tiene mucha demanda ultimamente, pero le he puesto un garrafón de aguardiente casero que explota bastante también
#12 nono. Te explico:
Aquí hay dos problemas. Uno es el DNS. Las operadoras cuando intentas consultarles por una de las direccione prohibidas, te contestan con una respuesta falsificada. Eso se soluciona fácilmente no usando el DNS de la operadora aunque. Aunque podrían evitarlo no lo han hecho porque optaron por un método diferente:
El segundo bloqueo que usan es la inspección de paquetes. Cuando te conectas para pedir una página web por https, toda la comunicación va cifrada EXCEPTO el nombre. ¿Por qué? Porque es la única manera de tener varios servidores tengan la misma IP (por ejemplo cuando están detrás de algún proxy).
Si analizas el tráfico, verás que todo el tráfico va cifrado pero el nombre del sitio aparece visible. Entonces, cuando el filtro de la operadora detecta que el inicio de la conexión contiene uno de los nombres bloqueados, contesta con una página de error.
Prueba por ejemplo con 1337x.to, que está en cloudflare.
#7 dudo mucho que hagan algo que no sea retrocompatible. Todos sabemos que muchos de los servidores que hay en Internet estarán muchos años sin actualizar.
#1 gracias! En Chrome móvil también está la opción
Por lo que leo, en Firefox ya estaba presente desde el 2021.
#2 Google es un virus actualmente.
#4 también está el flag hello para activar en brave brave://flags/
#2 A mi la prueba de Cloudflare me da todo correcto y tengo acceso a iptvwink.com
#16 yo antes no tenía y gracias a cambiar el DNS por el de Google y habilitar ECH ya si... por cierto... Dan un buen servicio o los hay mejores? (Para un amigo)
#19 En Firefox tengo en Privacidad & Seguridad > Activar DNS seguro usando: Protección máxima vía Cloudflare, en cuanto a la página, desconozco si las hay mejores, no uso páginas de ese tipo, simplemente comprobé si tenía acceso o estaba bloqueada.
#2 pues yo uso firefox y
cloudfare me dice que no lo tiene(www.cloudflare.com/ssl/encrypted-sni/).estaba desactivado, no se activa por defecto (network.dns.echconfig.enabled = true)
#17 Solo con eso en Firefox resulta que el test es negativo
https://defo.ie/ech-check.php
He leído por ahí que
about:config
network.dns.echconfig.enabled : true
network.dns.http3_echconfig.enabled : true
network.trr.mode : 3 (this forces Firefox to always use DNS-over-HTTPS)
network.trr.uri : https://mozilla.cloudflare-dns.com/dns-query
network.dns.use_https_rr_as_altsvc : enable (should already be enabled by default)
#17 Me sigue saliendo que no lo tiene
#30 Incluso siguiendo las explicaciones de
https://blog.elhacker.net/2020/11/activar-medidas-privacidad-navegador-firefox-chrome-windows10-android-linux-esni-tls-dns-over-tls.html
#30 Prueba a configurar ECH en vez de eSNI (en la entradilla dice que esta obsoleto). A mi me funciona.
#2 #17 Firefox hasta el momento no soporta esto. Tiene las opciones de configuración en about:config, pero no tienen efecto aunque las actives. Acabo de comprobarlo con la última versión de Firefox para Windows.
#35 Funciona.
Para Firefox.:
about:config
network.dns.echconfig.enabled true
network.dns.use_https_rr_as_altsvc true
#39 Go to #54
#54 No, no lo hace. Como mencioné, te permite cambiar los valores, pero no tienen efecto.
#17 #2 Ya había cosas activadas por defecto, pero el tercer paso no (en mi caso), y ninguno de los 3 pasos estaban preactivados en la versión Android:
https://www.reddit.com/r/privacy/comments/13canhc/a_guide_on_how_you_can_enable_ech_and_http3_in/
#47 ¿En Android sólo se puede acceder a "about:config" de Firefox si estás en la beta?
Vaya truño...
#55 Yo en Android estoy con la beta y es estable.
Y ahora las operadoras ya no van a poder vender tu historial de navegación. A ver cuánto tardan en bloquearnos ECH "por nuestra seguridad"...
Activad la vpn gratuita que trae Opera y dejaos de enredos.
#20 Esto es más efectivo, no hay vpn intermedia que te ralentice el tráfico
#52 Prueba http://epublibrosgratis.com
https://bandaancha.eu/foros/euskaltel-capando-paginas-web-no-dns-1748840
#60 En este lugar.:
en móvil también?
#3 Lo he mirado en mi Android tras actualizar la aplicación y sí aparece la opción.
#3 No, la versión móvil no tiene página about:config. Acabo de comprobarlo en mi iphone.
A ver
A) Cambia de proveedor dns
B) Cambia nsswitch a file y mete la web en el host
Ahora, dudo mucho que tu isp bloquee una web. Probablemente bloquee una ip donde apunta esa web, con lo que sino te vas por una vpn o algo así de nada te sirve
#6 mmmm creo que están hablando de otra cosa, el capado DNS es fácil de saltar como indicas, aquí creo que se refieren al MiM que hace tu operador revisando las cabeceras de la peticion dado que el SNI viaja en plano en https, se la sopla la ip, y corta o te redirige a otro sitio.
He hecho la prueba y no veo que haya funcionado. Si no me equivoco 1337x.to está en cloudflare y me sigue mostrando el mensaje de bloqueo:
$ whois 1337x.to
Tonic whoisd V1.1
1337x olga.ns.cloudflare.com
1337x todd.ns.cloudflare.com
#25 1337x.to funciona en Brave, Chrome y Firefox.
Go to #28
#31 probaré de nuevo más tarde. Tal vez el browser tenga algo cacheado de cuando comprobé que estaba bloqueada antes de cambiar el flag.
#31 pregunta, esa web que operadores la bloquean? Tengo O2, y con brave en el teléfono puedo acceder sin activar nada
La gente de Firefox: buscar como activar DoH + ECH y listo tambien.
He hecho todo lo que indica pero en la prueba de cloudfare dice que no lo tengo activado. Alguna idea?
#23 En Chrome.:
chrome://flags/#encrypted-client-hello enabled
Luego en Configuración >> Privacidad y Seguridad >> Seguridad> Activa "Personalizado"
#28 En seguridad no aparece ninguna opción "Personalizado", Chrome v117
Tiene 2 apartados: Navegación segura con 3 opciones y Configuración avanzada
En iphone con activar private relay puedes ver todas las web bloqueadas por el operador
#29 bueno, con una VPN cualquiera. El problema de las VPN es que le estás dando toda tu información de navegación a una única empresa.
#32 Bueno, con esto se la das a los grandes proveedores como CloudFlare y demas; que yo no digo que sea un mal menor, pero...
Me toca mirarme esto y otros temas ( ESNI, DoT/DoH,... ) para el curro y bueno, aqui hay un realidad un tanto... la cosa tiene multiples niveles y puntos de vista y sus guerras de poder.
Entre otras, queremos que todo vaya por HTTPS ? queremos poder filtrar publicidad ? donde ? en endpoint ? en la red local ? queremos censura ? queremos dar poder a las empresas de los navegadores ? a las grandes proveedoras de contenido ? queremos darsela a los ISP ? los gobiernos quieren centralizar el control, que sea cogiendo por los huevos a los ISP o a las proveedoras... si quieren operar en X pais, se les mete un requerimiento...
Ojito porque las cosas no son solo su apartado tecnico; el quien las hace/apoya o sobre quien recaen tiene muchisima importancia.