Todo sobre ECH de Cloudflare: cómo funciona y cómo activarlo

Última actualización:
Autor:
  • ECH cifra el SNI, evitando que operadoras y gobiernos puedan ver qué webs visitamos.
  • Funciona con TLS, dividiendo el mensaje Client Hello en dos para mayor seguridad.
  • Se puede activar en navegadores como Chrome y Firefox con configuraciones específicas.
  • Es compatible con Cloudflare, lo que aumenta la privacidad en miles de sitios web.

ECH de Cloudflare en funcionamiento

La privacidad en Internet se ha convertido en una prioridad para empresas y usuarios. Uno de los avances más importantes en este campo es ECH (Encrypted Client Hello), una extensión del protocolo TLS que permite proteger la información del dominio al que se accede, evitando que operadores y otras entidades puedan espiar la conexión.

Gracias a ECH, los sistemas de filtrado utilizados por las operadoras para restringir el acceso a ciertos sitios web se vuelven ineficaces, lo que significa una navegación más segura y privada. Pero, ¿cómo funciona realmente esta tecnología? ¿Es fácil activarla en navegadores como Chrome y Firefox? A continuación, explicamos en detalle todo sobre ECH.

¿Qué es ECH y por qué es importante?

ECH, o Encrypted Client Hello, es una mejora en el protocolo TLS (Transport Layer Security) que evita que información sensible, como el nombre del dominio al que se accede, quede expuesta en texto plano durante la fase de negociación de la conexión.

Cuando se establece una conexión segura mediante TLS, el navegador envía un mensaje inicial llamado «Client Hello» donde especifica la web a la que quiere conectarse. Antes de ECH, este mensaje incluía en texto claro el nombre del servidor (SNI – Server Name Indication), lo que permitía a terceros ver qué web estaba visitando el usuario.

  Computación en la nube: Reduce costos y multiplica la eficiencia de tu empresa

Con ECH, esta información se cifra utilizando claves públicas obtenidas a través del sistema DNS, lo que impide que intermediarios puedan leerlo. Esto supone una gran mejora en la privacidad, ya que ni operadoras ni gobiernos pueden inspeccionar y bloquear de manera sencilla el acceso a ciertos sitios web.

Diagrama del funcionamiento de ECH

¿Cómo funciona ECH?

El procedimiento de ECH se basa en dividir el mensaje «Client Hello» en dos partes:

  • ClientHelloOuter: Contiene información no sensible como la versión de TLS y los algoritmos de cifrado compatibles.
  • ClientHelloInner: Contiene el nombre real del servidor al que se desea conectar y otros datos sensibles, pero está cifrado con una clave pública específica.

Cloudflare ha sido una de las primeras empresas en implementar esta tecnología en su red de servidores, permitiendo a los sitios web que utilizan su infraestructura ofrecer protección ECH a sus usuarios.

¿ECH impide por completo el bloqueo de webs?

A lo largo de los años, los operadores han utilizado diferentes métodos para bloquear páginas web, primero a través de sus servidores DNS y luego inspeccionando el tráfico mediante el campo SNI de TLS. Con la llegada de ECH, este último método se vuelve obsoleto, ya que el SNI ahora está cifrado.

Sin embargo, los operadores todavía pueden aplicar bloqueos a través de otras técnicas, como el análisis de direcciones IP. En redes de distribución como Cloudflare, donde muchas webs comparten la misma IP, esto se vuelve más complicado.

Para reforzar aún más la privacidad, se recomienda usar ECH en combinación con DNS over HTTPS (DoH) y redes VPN, ya que estas herramientas dificultan aún más la identificación y filtrado del tráfico web.

  Software en la nube: Ventajas y desventajas

Cómo activar ECH en Google Chrome

Si quieres activar ECH en Chrome, sigue estos pasos:

  1. Asegúrate de tener Chrome actualizado a la versión 117 o superior.
  2. Escribe en la barra de direcciones: chrome://flags y presiona Enter.
  3. Busca y habilita las siguientes opciones, marcándolas como «Enabled»:
    • encrypted-client-hello
    • dns-https-svcb
    • use-dns-https-svcb-alpn
  4. Accede a «Configuración» > «Privacidad y seguridad» > «Seguridad».
  5. Habilita «Usar DNS seguro» y selecciona Cloudflare como proveedor.
  6. Reinicia el navegador para aplicar los cambios.

Cómo activar ECH en Mozilla Firefox

Para activar ECH en Firefox, sigue estos pasos:

  1. Escribe en la barra de direcciones: about:config y presiona Enter.
  2. Busca «echconfig» y asegúrate de que esté en «true».
  3. Habilita DNS over HTTPS desde «Ajustes» > «Privacidad y seguridad».
  4. Selecciona Cloudflare como proveedor de DNS seguro.
  5. Reinicia el navegador.

Ventajas y desventajas de usar ECH

Aunque ECH es una mejora crucial para la privacidad, tiene algunas ventajas y desventajas que conviene tener en cuenta.

Ventajas

  • Mayor privacidad: Evita que intermediarios puedan ver a qué sitios accedemos.
  • Mayor seguridad: Reduce el riesgo de censura y bloqueos por parte de gobiernos y operadoras.
  • Compatibilidad con TLS: Se integra fácilmente con el protocolo de cifrado existente.

Desventajas

  • Incompatibilidad: Algunos servidores aún no soportan ECH.
  • Requiere configuración: Actualmente debe ser activado manualmente en muchos navegadores.
  • Puede afectar rendimiento: Un cifrado adicional puede generar ligeras demoras en la conexión.

Privacidad con ECH

ECH representa un gran avance en la privacidad y seguridad de Internet, ya que impide que terceros puedan ver qué webs visitamos, cerrando una de las últimas brechas de TLS. Aunque todavía está en fase de adopción, su implementación en Cloudflare y navegadores como Chrome y Firefox marca el inicio de una nueva era en la protección del tráfico en línea.