💡

Cómo activar eSNI y DoH en Firefox para saltarse el bloqueo de webs

Josh 10 diciembre 2020 12:35 ✎ ◉

⋮

Firefox viene equipado con dos características que dejan inútil el sistema de filtrado de webs que utilizan las operadoras en España. Se trata de DNS-over-HTTPS (DoH) y Encrypted Server Name Indication (ESNI). Vamos a activarlas y comprobar cómo el sistema de filtrado de Movistar se queda sin poder hacer nada.

Firefox retiró el soporte para eSNI desde la versión 85 publicada en enero de 2021, reemplazándolo por ECH (Encrypted Client Hello), por lo que los pasos que se indican en esta guía no funcionarán en la versión actual. Lamentablemente la mayoría de servidores web todavía no soportan ECH, por lo que a día de hoy no es una alternativa viable.

1 Probando cómo Movistar intercepta el SNI
2 Qué hacen DoH y eSNI
3 Activando eSNI
4 Activando DoH
5 Probando cómo Movistar ya no puede bloquear pirlotvonline.net
6 Por qué eSNI no funciona con todas las webs

Probando cómo Movistar intercepta el SNI

Para empezar vamos a intentar acceder desde Movistar a la web https://pirlotvonline.net, una de las que fueron prohibidas, para comprobar como su servidor de filtrado FortiGate entra en acción y nos deja con un falso error 404:

ERROR 404 - File not found

Qué hacen DoH y eSNI

Para dejar ciego al sistema de filtrado vamos a activar DoH y eSNI. El primero hace que el navegador no use los DNS que tenemos configurados en nuestro equipo o el router, sino que resolverá los dominios mediante peticiones HTTPS, lo que hace que la operadora no pueda diferenciar el tráfico de resolución de nombres de la navegación web normal. El segundo es una extensión para solucionar el que ha resultado ser el talón de Aquiles de las webs HTTPS, el envío del nombre del host en el SNI en texto plano, que con eSNI pasa a estar cifrado.

Aunque eSNI y DoH son dos cosas totalmente independientes, en Firefox por alguna razón solo funciona eSNI si está DoH activado, así que vamos a asegurarnos de que ambos están activos.

Activando eSNI

Introducimos about:config en la barra de direcciones para entrar en las preferencias de configuración avanzada de Firefox.
Pulsamos Aceptar el riesgo y continuar para ignorar el aviso.
En la barra de búsqueda introducimos network.security.esni.enabled.
Pulsamos sobre ⇌ para cambiar el valor de false a true.

Activando DoH

En la barra de búsqueda de la configuración avanzada de Firefox introducimos network.trr.mode.
Cambiamos el valor 0por 2

Puedes ver el significado de cada uno de los valores aquí.

Probando cómo Movistar ya no puede bloquear pirlotvonline.net

Lo primero que vamos a hacer es acceder a la web de prueba de Cloudflare que nos dirá si ahora nuestro navegador ya está utilizando DoH y ESNI.

A partir de ese momento podemos introducir en la barra de direcciones https://pirlotvonline.net para comprobar como mágicamente podemos acceder a ella sin ningún problema.

Por qué eSNI no funciona con todas las webs

Lo que cuento en este post puede sonar maravilloso, pero no lo es tanto cuando compruebes que no funciona con muchas webs. Funciona con el ejemplo que hemos seleccionado porque está alojado en Cloudflare, que por defecto tiene eSNI activado en todas las webs que aloja. Es decir, eSNI sólo va a entrar en acción si tanto nuestro navegador como el servidor lo soportan.

Sabiendo esto, ESNI no es ahora mismo la panacea para saltarse el bloqueo de webs, pero si nos permite ver que en el futuro las operadoras no van a tener más remedio que convertirse en dumb pipes ignorando lo que transportan, ya que cuando se generalice no habrá forma de saber dónde están accediendo los usuarios.

BocaDePez 10 diciembre 2020 12:55

⋮

Gran articulo,todos deberíamos unar firefox por el esfuerzo que hacen para proteger la privacidad en un mundo donde todos quieren obtener los datos del usuario sin importar la opinión de este

Solospam 10 diciembre 2020 13:05

⋮

Existe alguna forma de hacer esto en pihole para no tener que ir PC por PC?

Saludos

✖

Bramante 10 diciembre 2020 20:38

⋮

No, con ESNI, circunvalarías Pi-hole.

Con P-h sí que puedes usar DoH, es muy sencillo de configurar.

✖

Solospam 10 diciembre 2020 23:58

⋮

He seguido este manual nathancatania.com/posts/pihole-dns-doh

Pero en la prueba de cloudflare me dice

No se que estoy haciendo mal

✖

Bramante 11 diciembre 2020 00:01

⋮

Usa mejor esta prueba: https://1.1.1.1/help

✖

Solospam 11 diciembre 2020 09:34

⋮

✖

Bramante 11 diciembre 2020 11:05

⋮

Ivaner3k 10 diciembre 2020 13:37

⋮

Qué raro a mí no me va, siguiendo los pasos en firefox…

Cloudfare me dice que sí que está bien, pero al intentar abrir pirlo me da el error.

✖

BocaDePez 10 diciembre 2020 13:45

⋮

Pon https:// delante de la dirección o usa el pluggin que te pongo mas abajo.

✖

Ivaner3k 10 diciembre 2020 13:46

⋮

Lo probé con https sin plugin y perfecto thanks!

BocaDePez 10 diciembre 2020 13:49 ✎

⋮

Prueba con el protocolo delante: https://pirlotvonline.net/.

BocaDePez 10 diciembre 2020 13:42

⋮

Solo funciona con https, por si a alguien no le funcionaba, hay un pluggin para firefox que fuerza https.

addons.mozilla.org/es/firefox/addon/https-everywhere

✖

Ivaner3k 10 diciembre 2020 13:45

⋮

Ese era el problema, gracias!

quetzal 10 diciembre 2020 14:49

⋮

Firefox 83 ya trae una función para forzar el https y redirigir las páginas que se abren como http a https

Mas información y de como activarlo en

blog.mozilla.org/security/2020/11/17/fir…ps-only-mode

obmultimedia1 10 diciembre 2020 14:09

⋮

pues he seguido paso a paso lo anunciado y sigue bloqueada, yo estoy por Pepephone.

BocaDePez 10 diciembre 2020 14:19

⋮

Eso solo funciona si los bloqueos van por DNS o intentan sacar la cabecera host de las peticiones.

Pero si los bloqueos se hacen por IP no hay forma de saltárselos.

Probablemente es hacia donde irán los ISPs, primero intentarán bloqueo por DNS, después por cabecera, finalmente lista de IPs prohibidas.

✖

BocaDePez 10 diciembre 2020 15:48

⋮

El problema de la IP, es que si esta en un hosting web tipico, donde la IP no es dedicada, bloqueas a miles de webs.

BocaDePez 10 diciembre 2020 16:48

-1

⋮

Se compliquen pueden usar Thor browser que usa una versión de Firefox

P B Fierro 10 diciembre 2020 16:54

⋮

Magnifico aporte!

yomimmo 10 diciembre 2020 19:17

⋮

Ese bloqueo es fácil de saltar, se trata únicamente de un bloqueo por DNS.

En mi caso como uso mi propio servidor DNS y una conexión de Vodafone no necesito nada para saltarme ese bloqueo.

BocaDePez 10 diciembre 2020 19:21

⋮

Opera y su magnifico VPN lo mejor de lo mejor, con esto solución.

BocaDePez 10 diciembre 2020 22:20

⋮

¿una vez cambias esas 2 cosas en los settings de firefox lo puedes dejar asi para siempre o te van a fallar las webs normales?

auka 10 diciembre 2020 22:52

⋮

¿Por qué no viene activada esta función por defecto? ¿hay algún efecto secundario?

✖

el-brujo 10 diciembre 2020 23:28

⋮

La implementación de DoH y ESNI es bastante nueva. Lo van incorporando los navegadores paulatinamente. De hecho, el navegador Google Chrome lo soporta de forma" experimental"(teóricamente) pero a la práctica no funciona… En poco tiempo vendrá por defecto en los navegadores y sistemas operativos que respeten la privacidad de los usuarios.

Test Navegador:

cloudflare.com/ssl/encrypted-sni

✖

auka 10 diciembre 2020 23:47

⋮

Perfecto, gracias!

BocaDePez 10 diciembre 2020 23:45

⋮

Gracias por el tip, @Josh.

Llevo 40 días con O2 y ya estaba pensando en cambiar de ISP. Confiemos que en las actualizaciones automáticas del FF no reviertan los valores…

Saludos.

Ossian 10 diciembre 2020 23:50

⋮

Gracias! Con esto entro a pirlo sin problema.

Alex 10 diciembre 2020 23:57

⋮

Ya podrían en Firefox permitir ESNI sin forzarte a usar su resolver DoH. Los que tenemos PiHole/AdGuard con DoH/DoTLS configurado no tenemos más remedio que usar o bien un DoH público, o montar el cristo de certificados autofirmados (o públicos, claro) para que Firefox use el resolver local. Un coñazo sin sentido que se podría evitar.

aeri 12 diciembre 2020 20:18

⋮

Ahora le llaman ECH (Encrypted Client Hello), lo de eSNI viene legado de borradores anteriores. Por fin ha pasado de fase de Experimental a Standards Track (tools.ietf.org/html/draft-ietf-tls-esni-08), a ver si se formaliza pronto como estándar final y podemos ver implementaciones en OpenSSL y LibreSSL para desplegar nuestros servidores NGINX con ECH.

Cehona 14 diciembre 2020 09:05 ✎

⋮

Sin necesidad de activar ESNI y DOH.

Desde Movistar, entro sin problemas a pirlotvonline.net pero da error 404 si solo accedo sin https a pirlotvonline.net

Utilizo DNS Jumper con DNS de Cloudflare

sordum.org/7952/dns-jumper-v2-2

BocaDePez 18 diciembre 2020 20:15

⋮

En mi caso activar DoH y ESNI no se saltaba los bloqueos totalmente, así que seguí investigando hasta dar con una solución completa al problema.

La quiero compartir porque creo que a muchos les puede gustar:

ReQrypt: reqrypt.org/reqrypt.html

Es tremendamente sencilla de usar, al menos en Ubuntu. Supongo que en Windows será similar.

✖

radiofree 29 enero 2021 23:10

⋮

Gracias por compartir ReQrypt.

Mucho mas sencillo que tener que activar la VPN. Yo he optado por la versión ZIP portable para Windows.

pepejil 9 enero 2021 22:54

⋮

Aprovecho el post para deciros que tanto Google Chrome como Microsoft Edge ya permiten DoH directamente en la configuración del navegador en sus últimas versiones de forma estable. Probablemente sea extensible a todos los navegadores con motor Chromium, con lo que también meto en el saco a Opera y Brave.

Ahora falta que ESNI se estabilice.

BocaDePez 24 enero 2021 10:13 ✎

⋮

ya no funciona en Firefox 85, va a ser sustituido por otro protocolo.

✖

BocaDePez 27 enero 2021 14:01

⋮

Hola,

Actualizado FF a 85.0 (64bits) me figuran los mismos valores que tenia en la versión anterior donde había cambiado lo siguiente en About:config:

cambiado el valor de network.security.esni.enabled a TRUE

cambiado el valor de network.trr.mode a 2

pero efectivamente ahora me salta el msg con Orange:

Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora

En Cloudflare me error en Encrypted SNI

Your browser did not encrypt the SNI when visiting this page.

¿Se sabe como solventarlo?

✖

BocaDePez 27 enero 2021 20:37

⋮

Mismo problema, se me acaba de actualizar y ahora no puedo entrar en thepiratebay, cuando me iba justo ayer con la misma configuración.

✖

BocaDePez 27 enero 2021 20:45

⋮

Por si te sirve,de momento tengo que usar Opera activando su VPN gratuita para seguir accediendo

✖

BocaDePez 27 enero 2021 21:08

⋮

BocaDePez 5 marzo 2021 11:48

⋮

ESNI se ha abandonado. Ahora se llama ECH desde Firefox 85 y tiene otras claves a cambiar.

✖

BocaDePez 5 marzo 2021 11:55

⋮

network.dns.echconfig.enabled true

network.dns.use_https_rr_as_altsvc true

✖

BocaDePez 5 marzo 2021 12:42

⋮

✖

BocaDePez 5 marzo 2021 12:50

⋮

BocaDePez 5 marzo 2021 17:17

⋮

Psiphon3 es la solución.

easton 23 octubre 2022 21:54

⋮

Cuál es la solución hoy día? ReQrypt?