💡

Cloudflare ha empezado a reactivar ECH (Encrypted Client Hello)

skgsergio 25 septiembre 2024 12:08 ✎

⋮

Pues resulta que acabo de ver que desde este agosto han empezado a reactivar ECH (Encrypted Client Hello) a las webs de los usuarios free:

Starting in August, 2024, ECH will be gradually released on free zones. It will not be possible to disable it. A toggle will be added to the Cloudflare Dashboard at a later point before ECH is made available for other zone plans.

developers.cloudflare.com/ssl/edge-certificates/ech

Mismamente si consultamos la entrada DNS HTTPS de BandaAncha.eu vemos que está presente:

$ dig +noall +answer HTTPS bandaancha.eu
bandaancha.eu.		243	IN	HTTPS	1 . alpn="h3,h2" ipv4hint=104.21.10.211,172.67.164.134 ech=AEX+DQBBAgAgACDBrrXnTTUP6T/fJ7d1T5QBMNF4Hk5/X17N/L6S0sg0QAAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2606:4700:3032::ac43:a486,2606:4700:3034::6815:ad3

Y si vamos al /cdn-cgi/trace de BandaAncha.eu y tenemos activado ECH en nuestro navegador (yo uso Chrome sin tocar nada) podemos ver que indica sni=encrypted:

fl=366f34
h=bandaancha.eu
ip=80.29.x.x
ts=1727258434.508
visit_scheme=https
uag=Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
colo=MAD
sliver=001-tier1
http=http/3
loc=ES
tls=TLSv1.3
sni=encrypted
warp=off
gateway=off
rbi=off
kex=X25519Kyber768Draft00

Y echando un ojo con Wireshark esto es todo lo que veo al entrar en BandaAncha:

¡Ya no nos pueden bloquear BandaAncha!

JGeek00 25 septiembre 2024 12:35

⋮

Esto era lo de que las cabeceras de los paquetes van encriptadas?

✖

lhacc 25 septiembre 2024 12:39

⋮

support.mozilla.org/en-US/kb/understand-…client-hello

✖

JGeek00 25 septiembre 2024 12:41

⋮

Entonces con esto los ISP no tienen manera alguna de inspeccionar el tráfico?

✖

skgsergio 25 septiembre 2024 12:42

⋮

O bloquean la CDN entera o ya no pueden bloquear…

✖

JGeek00 25 septiembre 2024 12:43

⋮

✖

lhacc 25 septiembre 2024 12:44

⋮

Winchester 25 septiembre 2024 13:44

⋮

skgsergio 25 septiembre 2024 12:41

⋮

Basicamente que en Client Hello que se da en el establecimiento de la conexión con el servidor ahora va cifrado por lo que no se puede ver el SNI (Server Name Indication) que es el dominio de la web a la que estas conectando. Esto es lo que los operadores inspeccionan para bloquearte las webs.

Algo de info sobre ECH: Cómo activar ECH en Chrome para acceder a webs bloqueadas por las operadoras

Y la noticia de cuando se desactivó en Cloudflare: Cloudflare se ve obligado a desactivar ECH en toda su red sin dar una explicación clara

DonDpM 25 septiembre 2024 15:24

⋮

Pero esto no es algo nuevo, yo llevo con ECH bastante tiempo en todos los navegadores

✖

lhacc 25 septiembre 2024 15:28

⋮

Para ser útil es necesario que lo soporte no sólo tu navegador sino también el servidor remoto al que accedes.

✖

DonDpM 25 septiembre 2024 17:10

⋮

Las web bloqueadas por las operadoras todas funcionan, y no sé cómo estará por detrás pero funciona perfectamente

vdias 25 septiembre 2024 15:44

⋮

eso no es cosa de un solo lado… para ser efectivo de verdad, ambos extremos necesitan hablar el mismo idioma…

✖

DonDpM 25 septiembre 2024 17:13

⋮

Para las web bloqueadas funciona, y por ahora ningún problema con ninguna web. No se si estará funcionando para todas, pero las webs bloqueadas todas las que he probado funcionan y sin VPN

✖

skgsergio 25 septiembre 2024 18:07

⋮

Al parecer llevan reactivando desde Agosto al menos de forma publica puede que hicieran algún soft launch de pruebas algo antes. Pero ha estado desactivado casi un año.

agl2002 25 septiembre 2024 16:50

⋮

Si yo fuera el presidente de cloudflare no me acercaría por Francia

Pemobil 27 septiembre 2024 12:03

⋮

Parece que mucha gente con FortiGate no puede acceder a las páginas que utilizan ECH. Aquí hay instrucciones para resolverlo si a alguien le pasa:

reddit.com/r/fortinet/comments/1fd9knx/e…client_hello

Parodper 29 septiembre 2024 13:47

⋮

Ahora solo queda esperar que el resto de servidores (Apache, NGINX, etc) lo permitan.

✖

Pemobil 29 septiembre 2024 21:36

⋮

La implementación de ECH parece no ser tan fácil. ECH va en dos fases:

ECH outer part sin SNI encriptado a un servidor. En el caso de todos los dominios de Cloudflare, este servidor es cloudflare-ech.com.
ECH inner part con SNI encriptado con la información obtenida en el paso anterior al servidor final.

Así que no es suficiente con activar ECH para un servidor https. Hay que tener otro servidor https para el outer part. Pero si pongo los dos en el mismo sitio, ya se sabe que si uno accede al de outer part, en verdad se quiere conectar al único SNI para el que este outer part está responsable.

ECH funciona bien si hay un servidor para el outer part para muchos dominios como en el caso de Cloudflare o de un hoster con muchos dominios. En las instalaciones individuales eso no es así y ECH no ayuda casi nada.

✖

Parodper 30 septiembre 2024 08:54

⋮

Pero tiene que existir el outer? Por que si no se mete example.com o invalid.invalid y ya.

✖

pepejil 30 septiembre 2024 09:17

⋮

Sin un outer auténtico donde consultar la información que el navegador debe enviar al inner, rompes el propósito del sistema y harás que el SNI se mande en claro al destino final, lo cual estamos en las mismas.

lhacc 30 septiembre 2024 10:24

⋮

Vaya… Cualquiera podría pensar que el objetivo de estas empresas es centralizar internet.