Mozilla ha estat desenvolupant aquesta nova tecnologia de privadesa a Internet durant gairebé mitja dècada
Encrypted Client Hello millor conegut per les sigles (ECH) és la nova funcionalitat que Mozilla ha anunciat com a part del nou suport per als usuaris de la branca estable de Firefox.
ECH, és una nova tecnologia que està dissenyada per xifrar informació sobre els paràmetres de les sessions TLS, com el nom de domini sol·licitat, ja que aquest utilitza un esquema de distribució de claus diferent per al xifratge: la informació de la clau pública es desa en registres DNS HTTPSSVC en lloc de registres TXT.
Per obtenir i xifrar la clau es fa servir xifratge autenticat d'extrem a extrem basat en el mecanisme HPKE. ECH també admet la retransmissió segura de claus des del servidor, que es pot utilitzar en cas de rotació de claus al servidor i per resoldre problemes en recuperar claus obsoletes del cau DNS.
Aquest diagrama mostra com un navegador estableix una connexió segura amb un servidor web mitjançant ECH
Atès que, a més de connectar-se al servidor, la informació sobre els dominis sol·licitats es filtra a través de DNS, per a una protecció completa, a més de ECH, cal utilitzar tecnologia DNS sobre HTTPS o DNS sobre TLS per xifrar el trànsit DNS. El Firefox no utilitzarà ECH sense DNS sobre HTTPS habilitat a la configuració. Podeu consultar el suport de ECH al vostre navegador en aquesta pàgina.
Gran part de les nostres dades compartides a través de llocs web, com les nostres contrasenyes, números de targetes de crèdit i cookies, estan protegits amb protocols criptogràfics com Transport Layer Security (TLS). ECH és una nova extensió TLS que també protegeix la identitat dels llocs web que visitem, omplint la bretxa de privadesa a la nostra infraestructura de seguretat en línia existent.
Mozilla esmenta que un dels factors fonamentals per a la integració de ECH per defecte al Firefox va ser la inclusió del suport ECH per part de Cloudflare a la seva xarxa de lliurament de contingut fa uns dies. Des del punt de vista pràctic, atès que les dades sobre els hosts sol·licitats quan s'usa ECH estan ocults per a l'anàlisi, filtrar i bloquejar llocs no desitjats usant Cloudflare CDN ara requerirà bloquejar tota la xarxa de Cloudflare, bloquejar totes les sol·licituds de ECH u organitzar la intercepció HTTPS usant certificats arrel falsos. al sistema de l'usuari.
Inicialment, per organitzar el treball en una adreça IP de diversos llocs HTTPS, es va utilitzar l'extensió TLS SNI, on el nom del host sol·licitat s'indicava al missatge ClientHello transmès abans d'establir un canal de comunicació xifrat.
S'esmenta que gràcies a aquesta característica es va fer possible poder distribuir les sol·licituds entre hosts virtuals en una etapa primerenca del processament de la connexió, però també va fer possible que l'ISP filtrés selectivament el trànsit HTTPS i analitzés quins llocs obre l'usuari, cosa que no va permetre aconseguir una total confidencialitat en utilitzar HTTPS.
Per solucionar aquest problema i evitar la filtració d'informació sobre el lloc sol·licitat, posteriorment es va proposar una extensió ESNI que implementa el xifratge de dades amb el nom del host.
Durant la implementació d'ESNI, es va revelar que el mecanisme proposat no cobreix totes les fonts possibles de fugida de dades del host i el seu ús no és suficient per garantir la total confidencialitat de les sessions HTTPS. En particular, en reprendre una sessió prèviament establerta, el nom de domini en text clar seguia estant especificat entre els paràmetres de l'extensió TLS PSK. A més, els esforços per implementar ESNI han identificat problemes de compatibilitat i escalament que han impedit l'adopció generalitzada d'ESNI.
Amb ECH al Firefox, els usuaris poden estar segurs que els seus patrons de navegació són més privats.
Finalment cal esmentar que el codi per treballar amb ECH es va afegir originalment a la versió Firefox 85 però estava deshabilitat per defecte i Google per la seva banda va començar incloure de manera gradual a Chrome el suport ECH a partir del llançament de Chrome 115.
si estàs interessat a poder conèixer més sobre això, Pots consultar els detalls a el següent enllaç.