ECH (Encrypted Client Hello) es una extensión del protocolo TLS (Transport Layer Security) con el que funcionan las webs HTTPS, que soluciona el grave problema de privacidad que supone que el navegador indique dentro del campo SNI (Server Name Indication) en texto plano el nombre del dominio al que quiere acceder, lo que lo hace visible a terceros. Este problema es aprovechado por los sistemas de filtrado de contenidos para averiguar el dominio al que accede el usuario y aplicar bloqueos selectivos.
|
etiquetas: chrome , ech , bloqueo
A) Cambia de proveedor dns
B) Cambia nsswitch a file y mete la web en el host
Ahora, dudo mucho que tu isp bloquee una web. Probablemente bloquee una ip donde apunta esa web, con lo que sino te vas por una vpn o algo así de nada te sirve
Mi pregunta entonces es: si activo el ECH en mi navegador, e intento a acceder a un sitio web cuyo servidor no soporta el ECH, ¿me encontraré entonces que me es imposible acceder a ese sitio web? Porque, si es así, entonces ya no interesa tanto activar el ECH.
relacionada:
Chrome ya soporta ECH y Cloudflare lo activa en toda su red, dejando fuera de juego a los bloqueos de LaLiga y La Coalición
bandaancha.eu/articulos/chrome-cloudflare-adoptan-ech-dejando-10688
Los servicios que se vean afectados por bloqueos y quieran que eso no les afecte a sus potenciales usuarios tienen la opción de elegir cloudflare como servicio intermedio para la distribución de sus contenidos.
uno se puede ver en la necesidad de andar constantemente activando y desactivando ECH para poder entrar en todas las webs
No me consta que el servicio ECH tenga un impacto negativo en el acceso a otras webs, si tienes alguna fuente que avale esa hipótesis te agradecería que la aportases.
www.cloudflare.com/ssl/encrypted-sni/
El ECH sería el apartado de "Secure SNI".
cloudfare me dice que no lo tiene(www.cloudflare.com/ssl/encrypted-sni/).estaba desactivado, no se activa por defecto (network.dns.echconfig.enabled = true)
Aquí hay dos problemas. Uno es el DNS. Las operadoras cuando intentas consultarles por una de las direccione prohibidas, te contestan con una respuesta falsificada. Eso se soluciona fácilmente no usando el DNS de la operadora aunque. Aunque podrían evitarlo no lo han hecho porque optaron por un método diferente:
El segundo bloqueo que usan es la inspección de paquetes. Cuando te conectas para pedir una página web por https, toda la comunicación va cifrada EXCEPTO el nombre. ¿Por qué? Porque es la única manera de tener varios servidores tengan la misma IP (por ejemplo cuando están detrás de algún proxy).
Si analizas el tráfico, verás que todo el tráfico va cifrado pero el nombre del sitio aparece visible. Entonces, cuando el filtro de la operadora detecta que el inicio de la conexión contiene uno de los nombres bloqueados, contesta con una página de error.
Prueba por ejemplo con 1337x.to, que está en cloudflare.
$ whois 1337x.to
Tonic whoisd V1.1
1337x olga.ns.cloudflare.com
1337x todd.ns.cloudflare.com
defo.ie/ech-check.php
He leído por ahí que
about:config
network.dns.echconfig.enabled : true
network.dns.http3_echconfig.enabled : true
network.trr.mode : 3 (this forces Firefox to always use DNS-over-HTTPS)
network.trr.uri : mozilla.cloudflare-dns.com/dns-query
network.dns.use_https_rr_as_altsvc : enable (should already be enabled by default)
chrome://flags/#encrypted-client-hello enabled
Luego en Configuración >> Privacidad y Seguridad >> Seguridad> Activa "Personalizado"
Edit: Me contesto a mi mismo. Siguiendo los pasos de bandaancha.eu/foros/como-activar-esni-doh-firefox-saltarse-1741512, no sólo se arregla el cifrado de SNI, sino que, además, toma unos DNS seguros.
Go to #28
blog.elhacker.net/2020/11/activar-medidas-privacidad-navegador-firefox
www.cloudflare.com/ssl/encrypted-sni/
Puede que sean los DNS.
Eso sí, en un portátil sigue sigue dando mal el test para firefox, chrome y opera. Y eso que he seguido los mismos pasos que con el portátil del curro que si que va.
www.reddit.com/r/privacy/comments/13canhc/a_guide_on_how_you_can_enabl
Si el protocolo este bien diseñado tal vez permita la negociación en la primera conexión, y si no responde adecuadamente, hacer un downgrade de la misma y funcionar sin en protocolo
bandaancha.eu/foros/euskaltel-capando-paginas-web-no-dns-1748840
Para Firefox.:
about:config
network.dns.echconfig.enabled true
network.dns.use_https_rr_as_altsvc true
Vaya truño...
En cuanto a mi PC no entiendo pq con la misma configuración que el de trabajo no funciona siguiendo los pasos del meneo y algún comentario para aplicarlo en firefox.
Me toca mirarme esto y otros temas ( ESNI, DoT/DoH,... ) para el curro y bueno, aqui hay un realidad un tanto... la cosa tiene multiples niveles y puntos de vista y sus guerras de poder.
Entre otras, queremos que todo vaya por HTTPS ? queremos poder filtrar publicidad ? donde ? en endpoint ? en la red local ? queremos censura ? queremos dar poder a las empresas de los navegadores ? a las grandes proveedoras de contenido ? queremos darsela a los ISP ? los gobiernos quieren centralizar el control, que sea cogiendo por los huevos a los ISP o a las proveedoras... si quieren operar en X pais, se les mete un requerimiento...
Ojito porque las cosas no son solo su apartado tecnico; el quien las hace/apoya o sobre quien recaen tiene muchisima importancia.
Tiene 2 apartados: Navegación segura con 3 opciones y Configuración avanzada