• Ciencia y tecnología

  • Chrome ya soporta ECH y Cloudflare lo activa en toda su red, dejando fuera de juego a los bloqueos de LaLiga y La Coalición

  • [borrado]

  • Publicación n.º 1

Cloudflare anuncia la activación en toda su red de ECH (Encrypted Client Hello), una extensión del protocolo TLS con el que funcionan las webs seguras HTTPS, que inutiliza los sistemas de filtrado de las operadoras al cifrar el nombre del dominio al que accede el usuario. La versión estable 117 de Chrome lanzada hace unos días ya soporta ECH.

El 95% de la web está cifrada, pero tiene un bug

La web sin cifrar hace tiempo que es minoritaria. Lejos queda la conferencia anual Google I/O en la que en 2014 el buscador presentó su propuesta HTTPS Everywhere, antes de anunciar que tener una web cifrada sería un factor de posicionamiento1, lo que dio inicio a la migración masiva de las webs, facilitada enormemente gracias a los certificados gratuitos de Let's Encrypt. En la actualidad el 95% de las webs que visita un usuario de Chrome1 funcionan con HTTPS.

Una conexión cifrada significa que ningún tercero tiene acceso al contenido de la comunicación. Hasta entonces era muy sencillo que otro usuario de la red local pudiese captar claves de acceso o cookies de autenticación, ya que viajaban en texto plano. Los sistemas de los proveedores de internet también tenían acceso al contenido de los paquetes de datos, lo que facilitaba la censura de contenidos y en ciertos países, el castigo de disidentes.

El protocolo TLS (Transport Layer Security) con el que las webs HTTPS negocian su cifrado, descuidó un detalle fundamental. Cuando un mismo servidor alberga diferentes webs, antes de iniciar el cifrado, el navegador debe indicar a qué dominio quiere acceder para poder obtener su certificado. Esto se hace en el campo SNI (Server Name Indication), que viaja en texto plano.

Los bloqueos aprovechan el bug para saber dónde navega el usuario

Poco tardaron las empresas que se dedican al filtrado de tráfico en descubrir que analizando esta cabecera se podía determinar en qué web estaba navegando el usuario. Los sistemas DPI (Deep Packet Inspection) utilizados por las operadoras para impedir el acceso de sus clientes a ciertas webs, utilizan en la actualidad esta información para interceptar el acceso, devolviendo los famosos mensajes 451 Unavailable For Legal Reasons de Movistar o el Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora de Orange, entre otros.

SNI bloqueo webs operadoras

Que TLS tenga el campo SNI sin cifrar fue denominado "uno de los principales bugs de internet", cuando en 2018 Cloudflare anunció eSNI3, una extensión para TLS que cifra este campo. Firefox llegó a adoptar eSNI todavía en fase experimental, demostrando que dejaba fuera de juego a los filtros de las operadoras. Sin embargo, a finales de 2020, eSNI fue retirado repentinamente y sustituido por ECH. La razón era que había muchos más datos sensibles que proteger además del SNI durante la negociación inicial, conocida como handshake TLS.

La retirada de eSNI ha permitido desde entonces, con la popularización de los bloqueos de webs, que los sistemas DPI de las operadoras hagan su trabajo con comodidad, dándoles un respiro antes de la llegada de ECH. Sin embargo, que navegadores y servidores web adopten ECH de forma masiva significa que el público podrá acceder a cualquier web, incluidas aquellas bloqueadas por la justicia y la administración, sin posibilidad de que las operadoras puedan hacer nada al respecto.

Cloudflare activa ECH y la última versión de Chrome ya lo soporta

Ese momento está más cerca que nunca. Aunque ECH sigue en fase de borrador4, Cloudflare anuncia su activación en toda su red de distribución de contenido, lo que automáticamente convierte a cualquier web alojada detrás de su servicio, sea gratuita o de pago, en imposible de bloquear. La empresa llama a ECH en esta ocasión "la última pieza del puzzle de la privacidad"5.

No es casualidad que el anuncio coincidía con la llegada del soporte de ECH a la versión estable de Chrome. La versión 1176 a la que se están actualizando los navegadores desde el pasado 12 de septiembre implementa ECH, lo que facilita que el gran público pueda proteger su navegación muy fácilmente sin necesidad de utilizar una VPN.

Relacionado: Cómo activar ECH en Chrome para acceder a webs bloqueadas por las operadoras

Por qué ECH es una mala noticia para LaLiga y La Coalición

El bloqueo que impide a los usuarios de internet en España acceder a numerosas webs está coordinado a través de un protocolo secreto firmado entre La Coalición de creadores e industria de contenidos y la patronal Digitales, representando a los propietarios de derechos de autor y operadoras respectivamente. En junio de 2023 se mantenían bloqueadas 637 webs a través de este sistema.

Paralelamente, LaLiga y Movistar+ mantienen un listado que incluye a los dominios espejo de 78 webs que facilitan fútbol pirata. La mayoría de ellas están alojadas en Cloudflare, por lo que pasan a ser imbloqueables para los usuarios con ECH activado en su navegador. Todo un jarro de agua fría para las ambiciones de LaLiga, que van mucho más allá. Su presidente adelantó que el departamento antipiratería de LaLiga trabaja en una herramienta que se pondrá a disposición de las operadoras capaz de bloquear simultáneamente las más de 40.000 direcciones IP que han identificado difundiendo fútbol sin permiso.

El uso de ECH de forma masiva en servidores y navegadores dejará a los titulares de los derechos sin su arma más efectiva para luchar contra la piratería, por lo que con toda seguridad la nueva característica no será bienvenida por las entidades de gestión.

bandaancha.eu
bandaancha.eu

Curiosamente en Edge, que es Chromium creo que aún no se puede...

5 días más tarde

  • [borrado]

  • Publicación n.º 5

Ha durado poco la alegría:

Cloudflare ha tenido que retirar el nuevo protocolo ECH que impide el funcionamiento de los filtros de bloqueo de webs piratas solo unos días después de anunciar por todo lo alto su llegada.

ECH no gusta a autoridades y entidades antipiratería

ECH es la gran esperanza de los usuarios a los que no les gusta que su operadora se inmiscuya en el contenido del tráfico que generan desde su conexión al navegar en la web. Se trata de un nuevo estándar que completa a TLS 1.3, el sistema de cifrado que usan las webs HTTPS. Sin ECH, aunque una web esté cifrada, el nombre del dominio al que se accede se transmite en texto plano en el campo SNI, de forma que un intermediario puede saber dónde está navegando el usuario.

Google introdujo ECH en la versión estable de Chrome que se distribuye desde hace unas semanas. Para activarlo solo hay que modificar un flag de la configuración. Además del navegador, para que haga su trabajo debe soportarlo el otro extremo de la comunicación, el servidor web. La red de distribución de contenido Cloudflare anunció casi al mismo tiempo que activaba ECH por defecto en toda su red. Se estima que le 19% de todos los sitios web disponibles en internet utilizan los servicios de Cloudflare, por lo que súbitamente millones de sitios pasaron a ser imbloqueables.

Y es que ECH es una mala noticia para la industria de filtrado de contenidos, cuyas herramientas utilizan el campo SNI cuando viene sin cifrar para detectar la web usuario a la que accede el usuario y si es oportuno, bloquear el acceso. Es lo que ocurre con los famosos listados de webs ilegales mantenidos por LaLiga, Movistar+ y los estudios de cine de la MPA, actualizados periódicamente para que las grandes operadoras impidan a sus clientes navegar en ellos. Al activar ECH pudimos comprobar cómo inutilizaba de inmediato este sistema de bloqueos, lo que sin duda no es bienvenido por las autoridades y los propietarios de los derechos.

Cloudflare retira ECH súbitamente

Pero las buenas noticias han durado poco tiempo. Sin dar demasiadas explicaciones, Cloudflare ha retirado ECH y no lo volverá a activar durante un tiempo. Unos días después del anuncio, los usuarios en los foros ya dejaban ver que algo no andaba bien, ya que el funcionamiento de ECH era intermitente.

La razón de la desaparición de ECH la encontramos en el foro de la compañía, donde un miembro del equipo de Cloudflare explica1 que se han visto obligados a desactivarlo en todos los sitios de su red al encontrar problemas, sin especificar sin estos son técnicos o legales. ECH se mantendrá así hasta una fecha no determinada antes de que finalice el año.

Esta nota es para informarle sobre el estado de Early Hints y Encrypted Client Hello.

Lamentablemente, hemos tenido que desactivar ambas funciones a nivel mundial mientras solucionamos una serie de problemas con ellas. Estas cuestiones no están relacionadas. Estamos en el proceso de agregar una etiqueta a cada uno de los botones del panel para alertar que están deshabilitados.

Esperamos volver a habilitar Early Hints en las próximas semanas, y la reactivación de ECH de forma gratuita llegará más adelante en el año y se implementará para aquellos en la versión beta a principios de 2024.

Nos disculpamos por las molestias causadas aquí y estamos haciendo todo lo posible para que estas funciones vuelvan a estar en línea lo antes posible.

ECH desactivado

Aviso que aparece a los clientes en el dashboard de Cloudflare

Es difícil saber si la decisión de Cloudflare se debe a presiones externas o simplemente a problemas técnicos. Hay que recordar que ECH es un estándar aún en fase de borrador y Cloudflare ha tenido que modificar su propio servidor web propietario para hacerlo compatible, por lo que entra dentro de lo normal encontrarse con imprevistos.

bandaancha.eu
bandaancha.eu