In de afgelopen jaren is privacy op internet een centraal thema geweest voor zowel gebruikers als bedrijven die webdiensten aanbieden. Met de vooruitgang van encryptietechnologieën is de mogelijkheid van tussenpersonen — zoals internetdienstaanbieders (ISP’s) — om het verkeer van gebruikers te monitoren en te filteren aanzienlijk verminderd. Een van de meest recente innovaties op dit gebied is het Encrypted Client Hello (ECH), een protocol dat de manier waarop webverkeer wordt beschermd transformeert, waardoor het veel moeilijker wordt om websites te blokkeren of te censureren.
Wat is Encrypted Client Hello (ECH)?
Het ECH is een uitbreiding van het TLS (Transport Layer Security)Transport Layer Security (TLS) is een beveiligingsprotocol …, dat wordt gebruikt om communicatie tussen een browser en een webserver te beveiligen. Hoewel TLS het grootste deel van de tijdens een verbinding overgedragen informatie versleutelt, was er tot nu toe een kritisch deel dat in platte tekst bleef: de Server Name Indication (SNI). De SNI is een veld in de initiële fase van de verbinding (de “handshake”) dat de server het domeinnaam laat weten waartoe de gebruiker toegang wil krijgen.
Het probleem met SNI is dat elke tussenpersoon — zoals een internetdienstaanbieder — dit veld kon inspecteren om te zien naar welke website de gebruiker probeerde toegang te krijgen, zelfs als de rest van de verbinding was versleuteld. Dit was een sleutelgereedschap voor overheden en operatoren om de toegang tot bepaalde websites te blokkeren, omdat ze gewoon de servernaam moesten identificeren om het verkeer te filteren.
De uitdaging van ECH: SNI versleutelen
Het ECH protocol lost deze kwetsbaarheid op door de SNI samen met andere gegevens van de initiële verbinding te versleutelen, waardoor de servernaam waartoe de gebruiker toegang wil, verborgen blijft. In plaats van dat een tussenpersoon het exacte domein kan zien, kan deze alleen zien dat de gebruiker probeert verbinding te maken met een server die ECH gebruikt, maar niet welk specifiek domein wordt geraadpleegd.
Deze vooruitgang maakt de inhoudsblokkering technieken die gebaseerd zijn op het SNI — zoals die in Spanje door Movistar en LaLiga worden gebruikt om websites die pirateninhoud uitzenden te blokkeren — vrijwel ineffectief. Omdat een groot aantal websites gehost wordt op het inhoudsdistributienetwerk Cloudflare, dat ECH in oktober 2023 activeerde, zijn internetblokkades veel gecompliceerder geworden voor operatoren en auteursrechthouders.
Hoe werkt ECH?
In een traditionele TLS-verbinding stuurt de client (browser) een bericht genaamd ClientHello naar de server, dat een lijst van cryptografische algoritmen, de versie van TLS, en cruciaal, de SNI in platte tekst bevat. Met ECH wordt dit bericht in twee delen opgesplitst: een buitenste en een binnenste deel. Het buitenste deel bevat niet-gevoelige informatie, zoals het cryptografische algoritme dat wordt gebruikt, terwijl het binnenste deel de versleutelde SNI bevat.
De tussenpersoon, zoals een ISP, kan alleen het buitenste deel van de ClientHello zien, dat generieke informatie onthult. De werkelijke SNI, die het exacte domein specificeert, blijft verborgen totdat de server, die de sleutel heeft om het bericht te ontcijferen, het ontvangt en decodeert.
Implicaties voor censuur en contentblockades
De introductie van ECH betekent een grote verandering in de manier waarop overheden en operatoren restricties op het internet kunnen toepassen. Tot nu toe konden systemen zoals DPI (Deep Packet Inspection) de SNI analyseren om toegang tot bepaalde sites te identificeren en blokkeren. However, with ECH enabled, this technique becomes obsolete, as they can’t see which site is being visited.
Dit heeft geleid tot zorgen bij de entiteiten die afhankelijk zijn van het blokkeren van websites om auteursrechten wetten of censuurbeleid te handhaven. Een recent voorbeeld in Spanje is de strijd van LaLiga en de operatoren om sites die voetbalwedstrijden zonder toestemming uitzenden te blokkeren. Met ECH kunnen websites die eerst geblokkeerd werden weer toegankelijk worden, omdat de operatoren geen manier hebben om de verbindingen naar die sites te identificeren.
De impact van Cloudflare op de adoptie van ECH
Cloudflare, een van de grootste leveranciers van beveiligings- en prestatiediensten op het web, is cruciaal geweest bij de adoptie van ECH. Met meer dan 20% van de websites wereldwijd gehost op hun netwerk, markeerde de activatie van ECH in oktober 2023 een keerpunt in de veiligheid en privacy van webverkeer. Hoewel Cloudflare ECH tijdelijk moest deactiveren kort na de lancering vanwege technische problemen, wordt verwacht dat ECH in augustus 2024 verplicht beschikbaar zal zijn voor alle gratis accounts van Cloudflare, en optioneel voor betaalde plannen.
Dit betekent dat steeds meer websites worden beschermd door ECH, waardoor het blokkeren van content op het web moeilijker wordt. Voor gebruikers biedt deze vooruitgang meer privacy en vrijheid, aangezien ze websites kunnen bezoeken zonder angst dat hun verbindingen worden geïnspecteerd of geblokkeerd.
Wat is de toekomst voor ECH?
Naarmate ECH zijn uitrol voortzet, zullen zowel privacyverdedigers als regulatoren alert zijn op de implicaties. Voor operatoren en auteursrechthouders vormt dit nieuwe protocol een uitdaging in de strijd tegen ongeautoriseerde inhoud. Echter, voor gebruikers en voorstanders van netneutraliteit vertegenwoordigt ECH een cruciale vooruitgang in het beschermen van privacy en vrijheid op het internet.
Ondertussen hebben browsers zoals Chrome en Firefox al hun ondersteuning voor ECH aangekondigd, wat zorgt voor een algemene integratie van het protocol in de komende jaren. In een wereld waar online privacy steeds meer wordt gewaardeerd, lijkt Encrypted Client Hello bestemd te zijn een essentieel hulpmiddel te worden in de bescherming van digitale rechten.
Conclusie
Het Encrypted Client Hello-protocol is een grote stap voorwaarts naar meer privacy en veiligheid op het internet. Zijn capaciteit om de SNI te versleutelen en de identiteit van bezochte websites te verbergen voor externe tussenpersonen is revolutionair in de manier waarop webverkeer wordt beheerd. Hoewel het uitdagingen stelt voor operatoren en entiteiten die op zoek zijn naar het blokkeren van sites, vertegenwoordigt het voor gebruikers een cruciale vooruitgang in het beschermen van hun privacy. Met de tijd zou ECH het landschap van censuur en surveillance op het internet voor altijd kunnen veranderen.