BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Cómo activar ECH en Chrome para acceder a webs bloqueadas por las operadoras

Joshua Llorach
ECH Chrome Cloudflare

Aprende a activar el nuevo protocolo ECH recién implementado en Chrome, que permite acceder a webs que lo soporten sin que el sistema de bloqueo de las operadoras pueda actuar, al impedirle leer los nombres de los dominios a los que accedes.

Qué es ECH y cómo evita el bloqueo de webs

ECH (Encrypted Client Hello) es una extensión del protocolo TLS (Transport Layer Security) con el que funcionan las webs HTTPS, que soluciona el grave problema de privacidad que supone que el navegador indique dentro del campo SNI (Server Name Indication) en texto plano el nombre del dominio al que quiere acceder, lo que lo hace visible a terceros. Este problema es aprovechado por los sistemas de filtrado de contenidos para averiguar el dominio al que accede el usuario y aplicar bloqueos selectivos.

SNI bloqueo webs operadoras

Con ECH, el mensaje ClientHello, que incluye el SNI y otros parámetros para establecer la comunicación de un navegador con un servidor web, viaja cifrado, dejando fuera de juego a los filtros DPI (Deep Packet Inspection). Este tipo de equipos son utilizados por los proveedores de internet para bloquear el acceso a webs ilegales, aunque no hay que olvidar que en numerosas ocasiones su mal funcionamiento interfiere en el acceso a webs legítimas:

Para que ECH funcione, deben soportarlo tanto el navegador como el servidor. ECH sigue siendo un estándar en desarrollo, pero los principales navegadores ya lo soportan. Cloudflare lo ha activado en toda su red, por lo que súbitamente hay un gran número de webs que pueden beneficiarse de las mejoras que trae para la privacidad.

Cómo activar ECH en Chrome

Para activar ECH en Chrome, tu navegador debe estar actualizado al menos a la versión 117. Puedes comprobarlo accediendo a la URL chrome://settings/help y verificando los tres primeros números del código de versión que aparece.

Comrpobando versión de Chrome
  1. Si es así, accede a la URL chrome://flags. Este menú oculto, llamado Experiments, lista las características soportadas por el navegador, pero que no vienen activas por defecto.
  2. Introduce en el cuadro de búsqueda el texto "Encrypted ClientHello" para filtrar el apartado que nos interesa. También puedes acceder directamente a esta opción con la URL chrome://flags/#encrypted-client-hello.
  3. Ahora pulsa en el selector de la derecha donde pone Default y selecciona Enabled.
Activando ECH en Chrome

Ya tienes ECH activo.

Activando DoH

Si utilizas Windows o Linux, también debes habilitar manualmente DoH, siglas de DNS over HTTPS. Esto no es necesario en macOS, ya que viene activo por defecto, aunque no está de más que compruebes qué proveedor de DNS usas.

Con DoH las peticiones de resolución de los nombres de dominio en su correspondiente IP, son enviadas cifradas como tráfico web. El tráfico DNS convencional sigue viajando en texto plano, así que no tiene sentido activar ECH si cualquier intermediario, o los servidores DNS por defecto de tu operadora, siguen teniendo acceso a los dominios a los que accedes.

Para activar DoH en Chrome:

  1. Abre el menú de los tres puntos verticales ⋮ situado a la derecha de la barra de direcciones y selecciona Configuración.
  2. En Privacidad y seguridadSeguridad, deslizándote hacia abajo encontrarás la opción Usar DNS Seguro en la que debes activar el interruptor.
  3. Selecciona la opción Con para elegir en el selector desplegable el proveedor que prefieras, como Cloudflare, Google u Open DNS.
Activando DoH en Chrome

Cómo comprobar que ECH está funcionando

Hay varias páginas donde puedes comprobar si todo está en orden con tu navegador y efectivamente estás haciendo uso de ECH. La más sencilla de utilizar es la de Cloudflare. Pulsa el botón Comprobar mi navegador para comprobar si pasas los tests de DNS seguro y Secure SNI. Si es así, ECH está haciendo su trabajo.

Test DoH ECH Cloudflare

Para confirmar que ECH inutiliza los filtros de las operadoras, hemos hemos elegido uno de los dominios que figuran en el listado de bloqueos de LaLiga y Telefónica como alojados en Cloudflare. Se trata de iptvwink.com, una plataforma de IPTV de pago con acceso a 17.000 canales de dudosa procedencia que yo jamás contrataría ni recomiendo su uso más allá de para hacer esta prueba. Con la herramienta Está caída puedes comprobar cómo la web continúa actualmente alojada tras los servidores de Cloudflare.

iptvwink.com bloqueado

Al acceder desde una conexión de Orange con Chrome configurado de serie, nos encontramos con que el acceso es interceptado y bloqueado por la operadora. El conocido mensaje "Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora" se muestra sobre un fondo blanco.

iptvwink.com desbloqueado

Tras seguir el proceso indicado en este artículo, mágicamente la web pasa a estar disponible, sin necesidad de utilizar una VPN, lo que indica que los sistemas de análisis de tráfico de Orange han sido incapaces de determinar dónde está navegando el cliente.

💬 Comentarios

1
Bilbokoa
2

Excelente información. Gracias.

drope95

Recomiendan activar este modo para un usuario casual?

No suelo entrar en webs bloqueadas y cuando lo necesito, uso VPN.

Pero me gustaría saber si activar este modo implicaría tener mayor lentitud, latencia o algo parecido a la hora de navegar.

🗨️ 3
Bocchi94

Recomendaría dejarlo activo ya que es una medida adicional que puede venir bien si te conectas desde una red pública (WiFi de un restaurante por ejemplo).

🗨️ 2
drope95

Y para usarlo en mi PC personal que solo uso en casa? Puede afectar negativamente a la hora de navegar?

🗨️ 1
Bocchi94
3

No debería afectar negativamente ya que si una página web no soporta esta tecnología el navegador la ignora.

Bocchi94
3

En Chrome (y derivados) para Android, los pasos son muy similares. Acceder a chrome://flags, buscar la flag indicada en el artículo y relanzar la aplicación.

🗨️ 1
Sysman
1

A mi la versión 116 de chrome en Android ya tiene activo ECH incluso en el modo "Default" del flag encrypted-client-hello (de momento no quiero la 117 porque ha roto la manera de gestionar el modo desktop con mis flags previos).

Claro que yo uso "cromite", una versión de chrome para Android más respetuosa en privacidad y libre de la basura de Google que igual traía de serie el ECH. No está en f-droid pero se puede bajar de github o incluso añadir como repositorio f-droid (cromite.org/fdroid/repo).

Bangel

Se puede acceder a The Pirate Bay thepiratebay.org? Cómo?

No. No es para piratear. En The Pirate Bay hay muchas cosas legales. Debería ser ilegal haberlo bloqueado. Por eso es legal en los Estados Unidos de América.

🗨️ 3
agarri

Hola buenas yo con una conexion de Jazztel y todo activado no he conseguido entrar en thepiratebay en cambio sin activar nada si que podia entrar en iptwink

Un Saludo

🗨️ 2
Bangel

Gracias. ¿Qué es iptwink?

🗨️ 1
agarri

iptvtwink perdón es la pagina que mencionan arriba

Un Saludo

Icecube
3

Gracias por la información. Muy interesante.

En firefox viene deshabilitado por defecto, hay que activarlo. Hay que ir a about:config

Versiones nuevas:

network.dns.echconfig.enabled (cambiar a true)

network.dns.use_https_rr_as_altsvc (cambiar a true)

Versiones antiguas:

network.security.esni.enabled (cambiar a true)

Reiniciar navegador y pasa el test sin problemas.

🗨️ 7
superllo

A mi con esas dos opciones en true no me deja ir a sitios bloqueados. ¿Es necesario cambiar algo más? Veo que en algunos sitios pone que hay que activarlo en la configuración de red de Firefox pero no me sale la opción de DoH.

🗨️ 3
Icecube

Yo tengo activo DOH:

Ajustes → Privacidad y Seguridad → Activar DNS Seguro

Puedes usar el de cloudfare o personalizarlo con el de dns0.eu o quad9

Yo accedo a esos sitios perfectamente.

🗨️ 2
superllo

Voy a probar a ponerlo en "Protección aumentada".

Gracias.

superllo

Vale, parece que funciona. Gracias.

Hernenazo

En la versión de Android de firefox no se puede configurar? @IcEcUbE

🗨️ 2
Icecube

En Firefox para Android el about:config está deshabilitado, en cambio en la Firefox Night Build si viene activado. He realizado la misma configuración que con el del PC y de momento no me pasa el test.

En la Night Build los valores vienen activados por dedecto, sospecho que en la versión estable también pero no pasa el test ni con una ni con la otra.

Brave que es el otro navegador que bloquea publicidad en Android tampoco lo pasa, incluso he probado con Vanadium (Graphene OS) que es equiparable a lo que era Bromite, pero tampoco. Espero que lo activen en las próximas actualizaciones.

Icecube

Ya lo he conseguido tanto con Vanadium (chromium) como con Firefox.

Firefox:

NO funciona con la versión normal, hay que usar la Night Build. Los parámetros de ECH vienen activados por defecto, con lo cual solo hay que modificar en about:config y network.trr.mode darle valor 3. La network.trr.default_provider.uri está fijada para cloudfare.

Nota importante:

Ajustes → Redes e internet→ DNS Seguro

Si lo pones en automático, funciona sin problemas, aunque creo que lo mejor es que todas las peticiones y no solo las del navegador se resuelva con DOH. Yo en este caso tengo uno manual con quad9:

quad9.net/news/blog/doh-with-quad9-dns-servers

Ketere

Funciona para visitar RT?

🗨️ 5
PezDeRedes

He probado y a rt.com accedo sin problemas.

🗨️ 4
Ketere

Muchas gracias! Ahora no puedo probar, estoy con el movil

Yo actualmente tengo que entrar por actualidad guionmedio rt .com

Y sputnik funciona?

🗨️ 3
PezDeRedes

En Chrome para Android también está el flag disponible.

EDIT: A sputniknews.lat accedo sin problemas también, no sé si te refieres a eso.

🗨️ 2
Ketere

Gracias!

En chrome para iOS no me sale esa opcion

🗨️ 1
PezDeRedes

Activado, ¡gracias!

Ivaner3k

Gracias Josh, muy buen artículo!

1100R

Parece que en EDGE no aparece todavía.

🗨️ 2
Jav9i

A opera ha llegado, me imagino que si actualizas ya la tendrás o en un par de días en el peor de los casos.

antonianzas

Otro usuario de Edge por aquí que lo espera con ganas.

De momento probado en Thorium, la fork súper rápida de Chromium, y va perfecto para saltarse los bloqueos.

¿Entiendo que no pierde velocidad como una VPN? Porque la página para lo que la quería no va 100% fina, aunque igual es que sencillamente no va tan bien como antes.

🗨️ 1
antonianzas

Edito. También es posible activarlo en Edge con un parámetro en el icono. De todas formas esto parece que estaba disponible desde febrero. He hecho un poco el canelo.

Alonne04

Tengo la versión de Chrome que indicas, el flag activo, DNS tb activo, pero la verificacion de cloudflare me da fallo con el Secure SNI, alguien mas le pasa?

🗨️ 2
godswind

yo también he hecho los pasos y me falla el secure sni. No he probado a borrar cache pq tengo muchas pestañas y no tengo ganas de liarla

🗨️ 1
Alonne04

En mi caso ha sido una configuración del NOD32, un parametro de seguridad SSL que tenía activo. Al desactivar la inspección de ssl ya me funciona.

Hernenazo

Cómo es poibe que en macOS venga activado DoH por defecto? Aunque mi ISP no me ofrezca un servidor DoH, ¿macOS me asigna un servidor DoH directamente? @Josh Y todo ello sin necesidad de instalar un software a nivel SO para no tener que tener que estar andando y configurando DoH en cada navegador?

Y también me sigo preguntando si ECH y DoH son tecnologías complementarias o sustitutivas? Ya que según entiendo, DoH solucionaría los problemas que soluciona ECH, por lo que no se necesitaría configurar ECH a parte? Pero al revés no sería posible, verdad? Es decir, que si configuro ECH, necesitaría configurar también sí o sí DoH.

Y otra consulta, si ECH tiene que implementarse tanto del lado del cliente como del servidor al que nos queremos conectar, ¿por qué has podido acceder a la web en la que has hecho el testeo, siendo que no utiliza Cloudflare, y por lo tanto seguramente no tenga activado ECH a nivel de servidor? O lo mismo sucede en el caso de RT o Sputnik.

McRaul

Hola. Sirve también para el navegador Brave basado en Chromium para Android? De ser así, el procedimiento sería el mismo? Gracias

🗨️ 2
Mimamu

Brave para Android funciona exactamente igual que para escritorio:

chrome://flags → "Encrypted ClientHello" → Enabled

chrome://flags → "Use DNS hpps alpn" → Enabled .

Luego elige un DNS seguro.

De igual modo puedes configurar chrome/chromium. (Edge de escritorio [el de Android lo desconozco] sería el único con un procedimiento de configuración diferente: techcommunity.microsoft.com/t5/discussio…/m-p/3600372 [He tenido que ejecutarlo en Linux tb con esa opción para que funcione])

🗨️ 1
McRaul

Muchas gracias 👍

bussy

A mi con Vodafone ya no me funciona esto, la semana pasada me funcionaba bien, ¿a alguien mas le ocurre?

🗨️ 3
miguelidanez
1

A mi tampoco me funciona. Creo que ha sido al actualizar Chrome hoy, porque ayer me funcionaba.

EDITO: Parece problema de CloudFlare. He puesto OpenDNS como proveedor DNS seguro y me vuelven a funcionar las webs bloqueadas.

Leonés R

Tampoco funciona hoy 10 de octubre en grupo 0range. Ni en Firefox ni en Chrome aunque sí pasan el test de privacidad de Cloudflare.

NomeloHesperavah

Hola en chrome no veo la extensión yendo a Experiments y todo eso (tengo la versión al dia)

¿Ha desaparecido?

axe

He hecho todos los pasos en Chrome con Windows 10 y al menos con O2 no funciona este método.

Whiralais

Saludos

Activé ECH pero han vuelto a bloquear todas las páginas, y cuando intento volver a usar ECH no aparece ni encrypted-client-hello ni use-DNS-https-svcb-alpn. Tengo la versión 123, no sé si será por eso. Entro en la página de ECH y le doy a active ECH config y me hace descargar un archivo DNS, el cual no hace nada y no puedo abrir. Qué puedo hacer?

1