BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Chrome ya soporta ECH y Cloudflare lo activa en toda su red, dejando fuera de juego a los bloqueos de LaLiga y La Coalición

Joshua Llorach
ECH Chrome Cloudflare

Cloudflare anuncia la activación en toda su red de ECH (Encrypted Client Hello), una extensión del protocolo TLS con el que funcionan las webs seguras HTTPS, que inutiliza los sistemas de filtrado de las operadoras al cifrar el nombre del dominio al que accede el usuario. La versión estable 117 de Chrome lanzada hace unos días ya soporta ECH.

El 95% de la web está cifrada, pero tiene un bug

La web sin cifrar hace tiempo que es minoritaria. Lejos queda la conferencia anual Google I/O en la que en 2014 el buscador presentó su propuesta HTTPS Everywhere, antes de anunciar que tener una web cifrada sería un factor de posicionamiento1, lo que dio inicio a la migración masiva de las webs, facilitada enormemente gracias a los certificados gratuitos de Let's Encrypt. En la actualidad el 95% de las webs que visita un usuario de Chrome1 funcionan con HTTPS.

Una conexión cifrada significa que ningún tercero tiene acceso al contenido de la comunicación. Hasta entonces era muy sencillo que otro usuario de la red local pudiese captar claves de acceso o cookies de autenticación, ya que viajaban en texto plano. Los sistemas de los proveedores de internet también tenían acceso al contenido de los paquetes de datos, lo que facilitaba la censura de contenidos y en ciertos países, el castigo de disidentes.

El protocolo TLS (Transport Layer Security) con el que las webs HTTPS negocian su cifrado, descuidó un detalle fundamental. Cuando un mismo servidor alberga diferentes webs, antes de iniciar el cifrado, el navegador debe indicar a qué dominio quiere acceder para poder obtener su certificado. Esto se hace en el campo SNI (Server Name Indication), que viaja en texto plano.

Los bloqueos aprovechan el bug para saber dónde navega el usuario

Poco tardaron las empresas que se dedican al filtrado de tráfico en descubrir que analizando esta cabecera se podía determinar en qué web estaba navegando el usuario. Los sistemas DPI (Deep Packet Inspection) utilizados por las operadoras para impedir el acceso de sus clientes a ciertas webs, utilizan en la actualidad esta información para interceptar el acceso, devolviendo los famosos mensajes 451 Unavailable For Legal Reasons de Movistar o el Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora de Orange, entre otros.

SNI bloqueo webs operadoras

Que TLS tenga el campo SNI sin cifrar fue denominado "uno de los principales bugs de internet", cuando en 2018 Cloudflare anunció eSNI3, una extensión para TLS que cifra este campo. Firefox llegó a adoptar eSNI todavía en fase experimental, demostrando que dejaba fuera de juego a los filtros de las operadoras. Sin embargo, a finales de 2020, eSNI fue retirado repentinamente y sustituido por ECH. La razón era que había muchos más datos sensibles que proteger además del SNI durante la negociación inicial, conocida como handshake TLS.

La retirada de eSNI ha permitido desde entonces, con la popularización de los bloqueos de webs, que los sistemas DPI de las operadoras hagan su trabajo con comodidad, dándoles un respiro antes de la llegada de ECH. Sin embargo, que navegadores y servidores web adopten ECH de forma masiva significa que el público podrá acceder a cualquier web, incluidas aquellas bloqueadas por la justicia y la administración, sin posibilidad de que las operadoras puedan hacer nada al respecto.

Cloudflare activa ECH y la última versión de Chrome ya lo soporta

Ese momento está más cerca que nunca. Aunque ECH sigue en fase de borrador4, Cloudflare anuncia su activación en toda su red de distribución de contenido, lo que automáticamente convierte a cualquier web alojada detrás de su servicio, sea gratuita o de pago, en imposible de bloquear. La empresa llama a ECH en esta ocasión "la última pieza del puzzle de la privacidad"5.

No es casualidad que el anuncio coincidía con la llegada del soporte de ECH a la versión estable de Chrome. La versión 1176 a la que se están actualizando los navegadores desde el pasado 12 de septiembre implementa ECH, lo que facilita que el gran público pueda proteger su navegación muy fácilmente sin necesidad de utilizar una VPN.

Relacionado: Cómo activar ECH en Chrome para acceder a webs bloqueadas por las operadoras

Por qué ECH es una mala noticia para LaLiga y La Coalición

El bloqueo que impide a los usuarios de internet en España acceder a numerosas webs está coordinado a través de un protocolo secreto firmado entre La Coalición de creadores e industria de contenidos y la patronal Digitales, representando a los propietarios de derechos de autor y operadoras respectivamente. En junio de 2023 se mantenían bloqueadas 637 webs a través de este sistema.

Paralelamente, LaLiga y Movistar+ mantienen un listado que incluye a los dominios espejo de 78 webs que facilitan fútbol pirata. La mayoría de ellas están alojadas en Cloudflare, por lo que pasan a ser imbloqueables para los usuarios con ECH activado en su navegador. Todo un jarro de agua fría para las ambiciones de LaLiga, que van mucho más allá. Su presidente adelantó que el departamento antipiratería de LaLiga trabaja en una herramienta que se pondrá a disposición de las operadoras capaz de bloquear simultáneamente las más de 40.000 direcciones IP que han identificado difundiendo fútbol sin permiso.

El uso de ECH de forma masiva en servidores y navegadores dejará a los titulares de los derechos sin su arma más efectiva para luchar contra la piratería, por lo que con toda seguridad la nueva característica no será bienvenida por las entidades de gestión.

  1. developers.google.com/search/blog/2014/0…nking-signal
  2. transparencyreport.google.com/https/overview
  3. blog.cloudflare.com/esni
  4. datatracker.ietf.org/doc/draft-ietf-tls-esni
  5. blog.cloudflare.com/announcing-encrypted…client-hello
  6. chromestatus.com/feature/6196703843581952

💬 Comentarios

1
SrPolilla
15

Se menciona a Chrome, pero los que usamos Firefox lo tenemos implementado ECH desde la versión 85, así que también salimos beneficiados.

🗨️ 6
lordman

Donde está exactamente esa opción?

🗨️ 4
Marcus Valerius Corvus

Muchas gracias, he seguido las indicaciones de ese post de reddit y funciona correctamente.

🗨️ 1
Icecube

He conseguido que funcione en PC, pero no para en su versión para Android.

En Android, para acceder a la configuración hay que instalar la Night Build, pero aún activando todo no pasa el test.

CuloDePez
7

No pasa nada, dice Tebas que va a bloquear todas las IP del mundo mundial

🗨️ 1
Spock82
-5
pjpmosteiro
5

Me da tanta pena la Coalición… pobrecitos, no veís que son un pilar fundamental de nuestra sociedad?

Que será de este país por culpa de los malvados piratas? Nos censuraban por nuestro bien.

(Mira, no aguanto más, me estoy partiendo yo solo, ole por CF por empezar a implementar el ECH, que Tebas siga gastando millones en el Lumiere en vez de bajar los precios)

Ossian
4

Estas cosas en domingo no, que ahora no tengo donde comprar alcohol para celebrar…ah no, que ya tengo en casa, pues eso, me dispongo a echarme unas risas y brindar por el ridículo 9999999999 de Tebas y compañía

Sysman
-2

Los "disidentes" europeos que somos castigados por la dictadura de la Comisión Europea, si queremos recuperar la posibilidad de acceder a la página web de Rusia Today (que fue prohibida en toda la UE) para poder decidir por nosotros mismos qué es verdad y qué es mentira en las noticias, sin las "ayudas" de los dueños occidentales de los medios de comunicación, y pudiendo por tanto leer la opinión de Putin que nos ocultan… pues ya es posible gracias a esta característica.

Pero falta un dato más: es necesario activar el "DNS seguro" en el navegador. Y no basta con elegir cualquier DNS de los de serie. Por ejemplo, Cloudflare no funciona (mucha privacidad, pero deben ser colaboradores de la censura occidental). Yo he establecido un DNS customizado (doh.libredns.gr/dns-query, añadir por si acaso el https : // a la izquierda).

Ah, funciona con actualidad.rt.com (el dominio original) pero no con actualidad-rt.com, cuyo servidor quizá no está actualizado para soportar ECH.

Edito: esto aplica sobre todo a Orange y Vodafone (que últimamente volvió a restringir el acceso a RT). Digi (y creo que Movistar, al menos con fibra así es) sí permiten ver la web de RT, supongo que por despiste aplicando la prohibición de los gobiernos.

🗨️ 6
Sysman
1

Pues rectifico. Parece que RT no usa aún el protocolo ECH, por lo que no es visitable pese a activarlo. Que el dominio actualidad.rt.com sí sea visible cuando se pone el servidor DNS de libredns (¡incluso sin ECH activo!)… pues a saber por qué. Viendo el otro artículo de Josh, efectivamente he tenido que activar ECH para ver las páginas prohibidas en servidores con soporte ECH, ya que en ellas no bastaba usar libredns (y entonces, el DNS de Cloudflare es perfectamente válido… retiro mi crítica a ellos del post inmediatamente anterior).

Con todo, libredns viene bien para poder ver RT sin obligarme a Movistar o a proxys/vpns ;-)

🗨️ 4
PezDeRedes

Con DoH de cloudflare y ECH he estrado sin ningún problema, desde Movistar.

🗨️ 3
Sysman

Es que RT (dominios actualidad.rt.com y actualidad-rt.com) funcionan actualmente con Movistar incluso sin DNS seguro ni ECH. Es decir, accidentalmente no lo han capado (al menos, en Movistar fibra que tenemos en mi curro, y supongo que en el móvil podría ser que también, pero no lo he verificado). Con Digi en el movil funcionan ambos dominios.

Con lo que no va en este momento ninguno de los dos dominios es con Simyo (Orange) ni con Vodafone (con este último funcionó bastante tiempo el actualidad-rt.com). Incluso hubo períodos que era aleatorio (con algún proveedor, no recuerdo cuál, a ratos funcionaba el acceso o dejaba de funcionar).

🗨️ 2
PezDeRedes
1

Tampoco le veo interés alguno a leer la propaganda de un régimen dictatorial, pero bueno, es cierto que con la censura se están colando.

🗨️ 1
Sysman
BillyDoc
1

Funciona en los móviles?

🗨️ 1
Mimamu

En firefox, (salvo que lo hayan modificado para que se pueda cambiar via gui: quizas se active en "proteccion contra el rastreo" en algún momento?¿? ), necesitas activarlo modificando las preferencias del navegador en about:config. Pero eso no se puede modificar en la version de firefox para Android normal. Necesitas instalar la beta o la nightly (Por si quieres probar, puedes tener instaladas varias versiones de firefox a la vez en Android). En ellas si que puedes modificar esas preferencias. Sería lo mismo que en la versión para escritorio: 2 test online del soporte de ECH (Encrypted Cliente Hello) en el navegador

Con chrome y brave para Android tb he conseguido activarlo siguiendo los mismos pasos que para hacerlo con sus versiones de escritorio. Sólo asegurate que tienes instalada una version >= 117. (Desde la 115 se puede probar: en la 115 introdujeron ech en chrome como version alfa de prueba, la 116 fue la beta…)

lhacc
1

Esto parece una victoria, y temporalmente lo es, pero el Estado o uropa acabarán pidiendo bloqueos de rangos completos de IPs de cloudflare y a cloudflare no le quedará más remedio que echar a esas webs de su red para no afectar al servicio de otros clientes.

Esto ya ha ocurrido en el pasado en países que son, según uropa, antidemocráticos.

🗨️ 5
pepejil

Hasta que deje de ser problema exclusivo de Cloudflare y ECH esté implementado en la gran mayoría de Internet.

🗨️ 3
lhacc

Estas webs se refugian en cloudflare porque si bloqueas cloudflare te llevas por delante un montón de webs y a los estados no les conviene algo así.

Si se van a otros ISP (o dejan de usar cloudflare) aplicar bloqueos por IP no les resultará un problema.

🗨️ 2
pepejil

La mayoría de los hostings compartidos, por no decir todos, tienen centenares de sitios web alojados en una IP en la que también supone un problema bloquear dicha IP en cuanto habiliten ECH.

Por eso digo que cuando deje de ser algo exclusivo de Cloudflare, yo no veo a Europa haciendo una caza de brujas a todo proveedor de servicios para que delimiten rangos IP a bloquear.

🗨️ 1
lhacc

No hace falta hacer una caza de brujas, con que en varios países de la UE deje de estar disponible parte de OVH por bloqueo de IPs, en nada estará OVH largando a la web con viento fresco, y así sucesivamente.

pjpmosteiro

Si bloqueas bloques de IPs de Cloudflare, es como matar moscas a cañonazos, si mi servidor detrás de CF lo bloquea Movistar porque esa IP tiene un server pirata no durará mucho ese bloqueo.

Y anda que no hay formas de esconder una IP sin usar Cloudflare.

aeri

Buenísima noticia, llevaba meses esperando esto, me pareció muy extraño el movimiento de desplegar ESNI y desactivarlo al poco tiempo, ahora solo queda esperar para que sea por fin un estándar del IETF.

Agron2k08

Es una gran noticia. Ya lo tengo en el móvil, y pronto lo tendré en los equipos de casa… aunque me asalta la duda de como hacer compatible mi servidor web (plesk sobre debian 11) con eSNI /DoH porque o bien no estoy buscando documentación correctamente o no la hay porque aún el soporte es experimental.

🗨️ 3
lhacc

Que yo sepa ningún software de servidor http soporta ECH aún.

🗨️ 2
Agron2k08

¿Cómo lo está implementando Cloudflare en sus sistemas entonces? ¿Están utilizando solo la parte de DoH? 🤔

🗨️ 1
lhacc

Cloudflare usa su propio servidor privativo.

Dunk
Tebas & Cia
Un día se despertaron y estaban en el futuro …
mccool1961

A mí en Chrome, activando ECH, me deja de funcionar YouTube …

🗨️ 9
Jesuo

Cuando lo activé funcionó bien, hoy ninguna de las paginas de Google funcionaron, mientras estaba escribiendo esta respuesta vuelvo a comprobar y gmail funciona de repente, que curioso, YouTube sigue sin funcionar, ya empecé a notar ayer y antes de ayer que dejaba de funcionar las paginas, que tenía que cargar dos veces las url en el navegador porque me decía que los certificados no eran correctos o que la conexión no era segura… ese afán por espiar a la gente… las primeras veces con cambiar las DNS vuelve a funcionar pero no tardan mucho en volver a tocar los cojones.

Añado, vuelvo a comprobar YouTube y este funciona de nuevo después de postear asi que lo edito para responder que me da por pensar que en base a este patrón ¿alguien estaba comprobando si su manipulación de mi conexión es efectiva? en un ataque de paranoia :P

🗨️ 6
Josh

Abre hilo en el foro para ver si hay más gente afectada, que parece que algo está pasando.

🗨️ 5
Jesuo

@Josh

¿Que algo está pasando de manera general o solo a mi? Esto me suele pasar con Movistar, lo de intentar entrar a una página y que me diga que la conexión no es segura (que no se si pensar que son los de Movistar para que active su espionaje que llaman conexión segura) o que no acepta conexiones a través de HTTPS, pulso el botón del explorador para actualizar y la página carga en HTTPS, creí que activando el ECH cambiaría algo pero no ha sido el caso, ahora hay mas problemas, y comprobando si el ECH funciona, comprobando direcciones de la lista de bloqueadas que posteasteis, siguen saliendo los avisos de sitio bloqueado por infracción, el ECH no funciona o lo están evitando de alguna manera.

Añado además que comprobé en la pagina de testeo que ECH estaba activado y funcionado.

Jesuo

¿hilo en que foro? No estaría mal que hubiese un foro raíz llamado seguridad o privacidad

Mimamu

Me ha dado por probar y a mi me falla Chromium [Versión 117.0.5938.149 (Build oficial) Arch Linux (64 bits)]. Las 3 páginas de test funcionan pero las paginas tipo thepiratebay.org no…[aparece el mensajito de filtrado-fallo en el certificado]

En los siguientes parece todo correcto (Sobre todo doy fe con brave que es el que uso a diario):

Brave Versión 1.58.135 [ Chromium: 117.0.5938.140 (Build oficial) (64 bits)][Linux]

Microsoft Edge Versión 117.0.2045.47 (Compilación oficial) (64 bits)[Linux]

Firefox [Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/118.0]

He intentado diferentes configuraciones de seguridad en chromium para ver si por ahí está el fallo sin éxito. El único complemento instalado es ublock origin; pero tb lo tengo en los otros. Además la configuración es similar en los 3…

PD: Como idea para la otra gente que no le va (pk no necesariamente tiene que ser el mismo fallo): Si usan windows, comprobar que el antivirus no esté interfiriendo de alguna manera.

🗨️ 2
Mimamu

En chromium me faltaba activar: "Use DNS https alpn", eso hacia que los 3 "test" diesen como "válidos" pero las peticiones todavía podían ser filtradas (allot).

🗨️ 1
Jesuo
Jesuo

Mira lo que me sale ahora:

No se puede acceder a este sitio webEs posible que la página web mail.google.com/mail/u/0/?ogbl&tab=rm#inbox esté temporalmente inactiva o que se haya trasladado definitivamente a otra dirección.

ERR_FAILED

Jesuo

Y este tambien:

No se puede acceder a este sitio webComprueba si hay un error de escritura en mail.google.com.

Si está escrito correctamente, prueba a ejecutar el diagnóstico de red de Windows.

DNS_PROBE_FINISHED_NXDOMAIN

Lo posteo vuelvo a comprobar y gmail carga de nuevo, hu?

Más datos, páginas como dnssec-analyzer.verisignlabs.com hace que chrome vomite esto:

No se puede acceder a este sitio webComprueba si hay un error de escritura en dnssec-analyzer.verisignlabs.com.

Si está escrito correctamente, prueba a ejecutar el diagnóstico de red de Windows.

DNS_PROBE_FINISHED_NXDOMAIN

Esto con cualquier DNS que ponga, tarde o temprano ocurre en días alternos, con ese ECH y sin el, parece que por la zona usan nicos, lo de tec se lo dejaron por el camino los listillos. y una vez mas después de escribirlo aquí vuelvo a comprobar si el enlace carga y así lo hace.

Jesuo

Lo que mas jode es que Google translator no traduce teniendo este ECH activado

🗨️ 2
superllo

Pues a mi me va:

Captura de pantalla -2023-10-04 22-29-09
🗨️ 1
Jesuo

Al poco rato empezó a funcionar de nuevo, así que algo raro pasaba.

Jesuo

Añado una consulta, ¿para que es entonces la opción de usar DNS seguro en la configuración de Chrome? ¿no es ECH? ¿hay que usar el mismo DNS en esa opción que en las propiedades de la conexión de red?

🗨️ 4
superllo

Me parece que ECH es para cifrar incluso las cabeceras en una conexión HTTP y lo del DNS Seguro es a la hora de hacer una consulta al DNS que también se cifre. Protocolos diferentes pero que se usan para navegar por Internet.

🗨️ 3
Jesuo
1

Entonces si configuras un DNS para ECH y otro para DNS seguro no habrá problemas supongo. En Cloudfare se andan justificando de fallos, mucha explicación cuando en el pasado no la hubo, ¿excusas?

blog.cloudflare.com/1-1-1-1-lookup-failu…ber-4th-2023

🗨️ 2
superllo

ECH no tiene nada que ver con DNS por lo que leo.

🗨️ 1
Jesuo

Lo asociaba por el tema de que Cloudfare tiene el 1.1.1.1 y que fué uno de los primeros en dar el servicio de DNS seguro y como es en Cloudfare donde anda el tema de ECH, tu lo has dicho, nada no tiene que ver, algo hay :) se que el ECH va dirigido a la "multiplexación" de varios dominios en la misma IP,

Leonés R

Parece ser que no funciona el método unos días después de arrancar a andar, incluso viendo que el test de privacidad de Cloudflare lo pasan correctamente, tanto Firefox como Chrome. ¿Quién se dedica a espiar nuestras conexiones ahora? ¿Las operadoras siguen con lo suyo?

Hernenazo

@Josh , la implementación de ECH del lado del servidor como tal depende de los CDNs (como sería Cloudflare) o directamente del servidor web (apache, nginx, etc.)?

🗨️ 2
Josh

El server debe soportarlo. De momento solo el server (desarrollo propio) de Cloudflare lo soporta.

🗨️ 1
Hernenazo

Pero que me sigue sin quedar claro… Cuando hablamos de server a qué ns estamos refiriendo concretamente?

1