Ha pasado un tiempo desde la última vez que hicimos un post sobre AdGuard para Windows. Pero ahora eso va a cambiar (¡y por una buena razón!): por fin hemos lanzado una nueva versión con mejoras significativas que tenemos que contarte.

Compatibilidad con Encrypted ClientHello

En esta versión, AdGuard para Windows incorpora 17(!) nuevas opciones de configuración de bajo nivel. Ahora, sin embargo, vamos a centrarnos en uno de ellas: Usar Encrypted ClientHello. La activación desta característica experimental hará que tu conexión sea aún más segura.

ClientHello es el primer paquete de una conexión cifrada. Él contiene el nombre del servidor con el que te estás comunicando. Este paquete permanece sin cifrar, lo que permite a tu ISP saber a qué sitios web estás accediendo. Encrypted ClientHello (ECH) es una nueva tecnología que puede resolver este problema cifrando esta parte de la información que antes permanecía sin cifrar.

Implementación de Encrypted ClientHello en AdGuard

Para que la característica Usar ClientHello Cifrado funcione, Bloquear ECH debe estar desactivado y Protección DNS debe estar activada. Y esta es la razón principal por la que habilitamos Protección DNS por defecto para todos los usuarios, tanto los nuevos como los que llevan mucho tiempo con nosotros. El problema es que ECH se basa en datos obtenidos a través de DNS, por lo que para que AdGuard pueda recibir estos datos y permitir ECH globalmente para los usuarios, es necesario el filtrado DNS.

Ten en cuenta que la función Usar Encrypted ClientHello sólo puede funcionar con la configuración de bajo nivel Block ECH desactivada y la protección DNS activada. La cuestión es que ECH se basa en datos obtenidos a través de DNS, por lo que para que AdGuard reciba estos datos y habilite ECH globalmente para los usuarios, es necesario el filtrado DNS.

No lo olvides: la compatibilidad ECH debe implementarse en ambos lados. Sólo la compatibilidad con AdGuard no es suficiente, el servidor también debe ser compatible. Actualmente, estos servidores no son muchos, ya que la tecnología es nueva y aún está en proceso de finalización. Sin embargo, se espera que el número de servidores compatibles con ECH crezca rápidamente.

Cómo asegurarte de que ECH funciona

Para asegurarte de que ECH está funcionando:

1. Activa Usar Encrypted ClientHello
2. Ve a https://crypto.cloudflare.com/cdn-cgi/trace/ y verifica si hay sni=encrypted.

3. Entra en https://defo.ie/ech-check.php y verifica si hay SSL_ECH_STATUS: success.

Novedad en la configuración avanzada

La última actualización de AdGuard para Windows introduce varios ajustes nuevos de bajo nivel. No todas te serán útiles, pero echa un vistazo para saber qué más puedes hacer AdGuard para que tu experiencia en Internet sea aún más segura.

Todas las nuevas funciones avanzadas pueden dividirse en seis grupos:

• Las Opciones Anti DPI permiten modificar paquetes a bajo nivel durante el filtrado para evitar la inspección profunda de paquetes.
  • Ajustar el tamaño de fragmentación del paquete TLS inicial
  • Añadir un espacio adicional para las solicitudes HTTP simples
  • Petición HTTP simple de tamaño de fragmento
• Las Configuraciones Keepalive te permiten configurar el programa para trabajar con conexiones Keepalive.
  • Activar TCP keepalive
  • Intervalo TCP keepalive
  • TCP keepalive timeout
• Las Configuraciones de exclusión del filtrado te permiten excluir tanto redes wi-fi como subredes privadas (especificadas en notación CIDR) del filtrado DNS.
  • Excluir del filtrado los rangos de IP especificados
  • Rangos IP excluidos del filtrado
  • Excluir los nombres de red Wi-Fi (SSID) especificados del filtrado DNS
• Las Opciones de conexión DNS te permiten refinar la configuración DNS.
  • Usar upstreams de DNS fallback
  • Usar HTTP/3 para DNS-over-HTTPS
  • Consultar upstreams DNS em paralelo
  • Sempre responder consultas DNS falhas
• Las Opciones de certificado de seguridad te permiten verificar los certificados de sitios y servicios web.
  • Verificar el certificado de transparencia de los sitios web
  • Activación de verificación asíncrona de revocación de certificados OCSP SSL/TLS
• Opción de activar el filtrado al iniciar el sistema. Ahora, por defecto, AdGuard para Windows no filtra el tráfico después del inicio automático durante el arranque del sistema. Si deseas que se realice el filtrado aunque no se inicie AdGuard, debes habilitar esta opción.

Además de los cambios descritos anteriormente, todavía teníamos mucho trabajo: hemos actualizado CoreLibs, DnsLibs, Scriplets, WFP y los controladores TDI, corregido diferentes errores y mejorado varias funciones. El registro de cambios completo de AdGuard v7.13 para Windows está disponible en GitHub.