Sign up to save your podcasts
Or
Share ECH: Encrypted Client Hello ya es estándar
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
ECH: Encrypted Client Hello ya es estándar
Ya habíamos hablado de ECH en 2020 cuando era todavía un draft, pero ya por fin tenemos el RFC 9849 que lo describe ya de verdad. ECH ya no es un draft: desde marzo de 2026 es el RFC 9849 de la IETF, en categoría Proposed Standard.
Aunque mucha gente da por hecho que con HTTPS ya va todo cifrado desde el principio, la realidad es que no era exactamente así. Durante años, en el arranque de la conexión TLS seguían viajando en claro algunos datos bastante sensibles, como por ejemplo el nombre del servidor al que te querías conectar. Es decir, que la conversación luego iba protegida, sí, pero al principio todavía ibas dejando pistas de más.
Ahí es donde entra ECH, que significa Encrypted Client Hello. La idea es cifrar precisamente esa parte sensible del saludo inicial para que no vaya expuesta por la red. Dicho de forma sencilla, es una manera de evitar que en ese primer “hola” entre cliente y servidor se revele información que no debería estar a la vista. Es una mejora importante de privacidad, porque tapa una fuga que llevaba años ahí y que quedaba un poco fea en algo que, en teoría, ya considerábamos seguro.
El mecanismo, además, está bastante bien pensado. ECH separa el saludo en una parte visible y otra cifrada: una especie de sobre por fuera y contenido real por dentro. A eso se suman detalles como el uso de HPKE, que significa Hybrid Public Key Encryption, el padding para que el tamaño de los mensajes no delate información, y técnicas como GREASE, que ayudan a que el tráfico con ECH no destaque demasiado frente al resto. Vamos, que no se limita solo a cifrar, sino que intenta hacerlo bien.
Ahora bien, también conviene decir lo que ECH no hace. No convierte tu conexión en invisible ni arregla toda la privacidad de Internet de golpe. Por ejemplo, si el DNS no va cifrado, sigues dejando pistas importantes por el camino. Y la IP también puede seguir dando bastante contexto. O sea, ECH resuelve una parte muy concreta y muy relevante del problema, pero no borra todo lo demás.
En resumen: ECH no reinventa Internet ni pone todo patas arriba, pero sí corrige una fuga bastante evidente en el arranque de las conexiones TLS. Y solo por eso ya merece la pena prestarle atención, porque era una de esas piezas que faltaban para que la privacidad en HTTPS estuviera un poco más a la altura de lo que la mayoría damos por hecho.
Foto de cottonbro studio: https://www.pexels.com/es-es/foto/oscuro-internet-tecnologia-efecto-desenfocado-5473951/
View all episodes
By Eduardo ColladoYa habíamos hablado de ECH en 2020 cuando era todavía un draft, pero ya por fin tenemos el RFC 9849 que lo describe ya de verdad. ECH ya no es un draft: desde marzo de 2026 es el RFC 9849 de la IETF, en categoría Proposed Standard.
Aunque mucha gente da por hecho que con HTTPS ya va todo cifrado desde el principio, la realidad es que no era exactamente así. Durante años, en el arranque de la conexión TLS seguían viajando en claro algunos datos bastante sensibles, como por ejemplo el nombre del servidor al que te querías conectar. Es decir, que la conversación luego iba protegida, sí, pero al principio todavía ibas dejando pistas de más.
Ahí es donde entra ECH, que significa Encrypted Client Hello. La idea es cifrar precisamente esa parte sensible del saludo inicial para que no vaya expuesta por la red. Dicho de forma sencilla, es una manera de evitar que en ese primer “hola” entre cliente y servidor se revele información que no debería estar a la vista. Es una mejora importante de privacidad, porque tapa una fuga que llevaba años ahí y que quedaba un poco fea en algo que, en teoría, ya considerábamos seguro.
El mecanismo, además, está bastante bien pensado. ECH separa el saludo en una parte visible y otra cifrada: una especie de sobre por fuera y contenido real por dentro. A eso se suman detalles como el uso de HPKE, que significa Hybrid Public Key Encryption, el padding para que el tamaño de los mensajes no delate información, y técnicas como GREASE, que ayudan a que el tráfico con ECH no destaque demasiado frente al resto. Vamos, que no se limita solo a cifrar, sino que intenta hacerlo bien.
Ahora bien, también conviene decir lo que ECH no hace. No convierte tu conexión en invisible ni arregla toda la privacidad de Internet de golpe. Por ejemplo, si el DNS no va cifrado, sigues dejando pistas importantes por el camino. Y la IP también puede seguir dando bastante contexto. O sea, ECH resuelve una parte muy concreta y muy relevante del problema, pero no borra todo lo demás.
En resumen: ECH no reinventa Internet ni pone todo patas arriba, pero sí corrige una fuga bastante evidente en el arranque de las conexiones TLS. Y solo por eso ya merece la pena prestarle atención, porque era una de esas piezas que faltaban para que la privacidad en HTTPS estuviera un poco más a la altura de lo que la mayoría damos por hecho.
Foto de cottonbro studio: https://www.pexels.com/es-es/foto/oscuro-internet-tecnologia-efecto-desenfocado-5473951/