Como activar Encrypted Client Hello en Librewolf

Publicado el 2025-09-21

Encrypted Client Hello (ECH) es una extensión del protocolo TLS (Transport Layer Security) que busca mejorar la privacidad de las conexiones HTTPS.
Su principal objetivo es cifrar la primera parte de la conexión TLS, que normalmente no es cifrada y contiene información sensible, como el nombre del dominio al que el cliente está intentando conectarse.
Esto es importante porque al ser cifrada, esta información no puede ser vista por atacantes o incluso por servidores intermedios, como los proxy o firewalls que podrían estar inspeccionando el tráfico.

¿Cómo funciona?

En una conexión TLS tradicional, el Client Hello es el primer mensaje que el cliente (por ejemplo, un navegador) envía al servidor para iniciar la negociación de la conexión segura. En este mensaje se incluyen datos importantes como:

  • El dominio al que se está conectando (que normalmente es el SNI, o Server Name Indication).

  • Los algoritmos criptográficos que el cliente soporta.

  • Otras configuraciones para establecer la conexión segura.

Con ECH, el Client Hello se cifra completamente, de forma que sólo el servidor de destino puede descifrarlo. Esto evita que otras entidades (como proveedores de servicios de Internet o servidores intermedios) vean el dominio al que te estás conectando, lo que mejora la privacidad.

Activando ECH en Librewolf

  1. Abrir la página de configuración avanzada:

    • Escribe about:config en la barra de direcciones y presiona Enter.

  2. Buscar la configuración relacionada con ECH:

    • En la barra de búsqueda, escribe:

    network.dns.echconfig.enabled

  3. Habilitar ECH:

    • Si la opción aparece como false, haz doble clic sobre ella para cambiarla a true.

  4. Habilitar TLS 1.3 con ECH:

    • Busca y habilita la opción:

    security.tls.enable-ocsp-stapling

    • y también:

    security.tls.version.max

    asegurándote de que esté en 4 (que corresponde a TLS 1.3).

Beneficios

Privacidad mejorada: Evita que cualquier persona, como un proveedor de servicios de Internet (ISP) o un atacante en el medio, vea qué sitio web estás visitando, incluso si puedes estar usando una red no confiable.

Reducción de la huella de información: Dado que se cifra el SNI y otros metadatos de la conexión, se hace más difícil para los atacantes o actores malintencionados inferir el comportamiento del usuario basándose en los patrones de tráfico.

Menos filtrado de contenido: Algunos gobiernos o organizaciones usan el análisis de tráfico HTTPS para bloquear o censurar sitios web específicos. Con ECH, esto se vuelve más difícil.