Un nuevo estándar de seguridad para TLS, denominado "Encrypted Client Hello" (ECH), ha sido publicado por el RFC Editor. ECH busca mejorar la privacidad y seguridad de las conexiones TLS al permitir que el servidor verifique la compatibilidad con ECH antes de negociar otros parámetros de la conexión. El proceso implica que el servidor candidatea diferentes configuraciones ECH (ECHConfig) y las intenta descifrar utilizando la clave privada correspondiente. Si el descifrado falla, el servidor intenta con otra configuración. Una funcionalidad clave es la verificación opcional de que el nombre de servidor (SNI) en la extensión ClientHello coincida con el configurado en el ECHConfig, limitando así las conexiones ECH a nombres de dominio específicos. En caso de fallo en todas las configuraciones, el servidor continúa la conexión sin ECH, pero puede incluir una extensión con datos aleatorios para evitar la detección. El nuevo estándar también aborda el manejo de solicitudes de reintento (HelloRetryRequest) y la necesidad de mantener la consistencia en las configuraciones para evitar errores de conexión.
Noticias agregadas con IA