Firefox es uno de los navegadores más utilizados y esto hace que cuando lanza alguna novedad importante pueda beneficiar a muchos usuarios. Hoy nos hacemos eco de un cambio que va a llegar con la nueva versión Firefox 85. Va a cambiar a ESNI por ECH. El objetivo es mejorar la privacidad y evitar fugas de nombre de host desde el protocolo de enlace TLS. Vamos a explicar en qué consiste este cambio.
Firefox 85 cambiar ESNI por ECH para mejorar la privacidad
En primer lugar hay que recordar qué significa ESNI. Hace un par de año el navegador de Mozilla anunció el soporte para esta extensión que funciona a través del protocolo TLS. Su función es dificultar la localización de navegación. Un usuario indica a qué nombre de host va a conectarse al iniciar la comunicación. Evita que ese nombre viaje en texto plano sin cifrado.
Básicamente sirve para cifrar la extensión SNI (Indicación de Nombre de Servidor), que evita futas de nombres de host. Sin embargo esto en realidad ofrece una protección incompleta. Por ejemplo, durante la reanudación de la sesión, la extensión de clave precompartida podría contener una copia en texto plano del mismo nombre de servidor cifrado por ESNI.
También debemos mencionar que esta característica permite filtrar selectivamente el tráfico HTTPS y analizar qué sitios abre el usuario. No permite una total confidencialidad al utilizar HTTPS.
Evitar las limitaciones de ESNI
Para evitar estas limitaciones que ofrece ESNI surge ahora ECH. Mozilla va a incluir ECH draft-08 en Firefox 85, que está previsto que sea lanzado a finales de este mes de enero. En este caso no cifra únicamente la extensión SNI, sino que cifra todo el mensaje ClientHello. No obstante, es de esperar que próximamente haya una nueva actualización a ECH draft-09.
Supone dos tipos de mensajes ClientHello: un mensaje ClientHelloInner cifrado y un mensaje ClientHelloOut base no cifrado. Se trata por tanto de una versión mejorada, de una evolución, de ESNI.
Hay que indicar que ECH también modifica la distribución de claves y cifrado. Un servidor TLS que admita ECH ahora anuncia su clave pública a través de un registro DNS HTTPSSVC. En cambio ESNI utilizaba registros TXT. El cifrado de clave es más fuerte, ya que ECH utiliza la especificación de cifrado de clave pública híbrida en vez de definir su propio esquema.
Como siempre decimos, es aconsejable contar con las últimas versiones especialmente cuando se trata del navegador. Así podremos lograr todas las mejoras y reducir el riesgo de que algún intruso pudiera robar información y acceder a nuestro sistema. Además, si tenemos actualizado el software podremos conseguir las mejoras en rendimiento para navegar mejor por la red.
En definitiva, ECH es una evolución interesante de ESNI que va a incorporar el navegador Mozilla Firefox. El objetivo no es otro que permitir una mejora en la privacidad. Ya sabemos que mantener los datos a salvo y evitar filtraciones es algo muy importante para los usuarios. Son muchos los métodos que podrían utilizar para recopilar información personal. Os dejamos un tutorial con consejos para mantener la privacidad al navegar.