Já faz um bom tempo desde a última vez que fizemos algum post sobre o AdGuard para Windows. Mas agora isso vai mudar (e por uma boa razão!): nós finalmente lançamos uma nova versão com melhorias significativas que precisamos contar para você.

Compatibilidade com Encrypted ClientHello

Neste lançamento, o AdGuard para Windows ganhou 17(!) novas configurações de baixo nível. Agora, no entanto, vamos nos concentrar em uma delas: Usar Encrypted ClientHello. Ativar esta funcionalidade experimental tornará a sua conexão ainda mais segura.

O ClientHello é o primeiro pacote de uma conexão criptografada. Ele contém o nome do servidor com o qual você está se comunicando. Este pacote permanece sem criptografia, permitindo que o seu provedor de internet saiba quais sites você está acessando. O Encrypted ClientHello (ECH) é uma nova tecnologia que pode resolver este problema, criptografando esta parcela de informação que antes permanecia sem criptografia.

Implementação do Encrypted ClientHello no AdGuard

Para que a funcionalidade Usar Encrypted ClientHello funcione, Bloquear ECH deve estar desativado e a proteção DNS precisa estar ativada. E esta é a principal razão pela qual nós ativamos a Proteção DNS por padrão para todos os usuários, tanto os novos, quanto os que já estão conosco há bastante tempo. O problema é que o ECH depende de dados obtidos através do DNS, portanto, para que o AdGuard receba esses dados e permita o ECH globalmente para os usuários, a filtragem do DNS é necessária.

Lembre-se de que o recurso Usar Encrypted ClientHello só pode funcionar com a configuração de baixo nível Block ECH desativada e a proteção DNS habilitada. O problema é que o ECH depende de dados obtidos através do DNS, portanto, para que o AdGuard receba esses dados e habilite o ECH globalmente para os usuários, a filtragem DNS é necessária.

Para que a compatibilidade com ECH funcione, ela deve existir tanto no lado do cliente quanto no lado do servidor. Atualmente, o suporte ECH é implementado em um número limitado de aplicações. O Chrome e o Firefox, por exemplo, estão em processo de agregá-la. Aqui não temos escolha a não ser esperar. Mas graças ao AdGuard, o suporte ECH funcionará automaticamente em todos os aplicativos e navegadores em seu dispositivo.

Como ter certeza de que o ECH está funcionando

Para garantir que o ECH esteja funcionando, use um dos seguintes métodos:

1. Ative a função Usar Encrypted ClientHello
2. Vá para https://crypto.cloudflare.com/cdn-cgi/trace/ e verifique se está escrito sni=encrypted.

3. Vá para https://defo.ie/ech-check.php e verifique se está escrito SSL_ECH_STATUS: success.

Novidades nas configurações avançadas

A última atualização do AdGuard para Windows apresenta várias novas configurações de baixo nível. Nem todas elas serão úteis para você, mas confira-as para saber o que mais o AdGuard pode fazer para tornar sua experiência na Internet ainda mais segura.

Todos os novos recursos avançados podem ser divididos em seis grupos:

• As Opções Anti DPI permitem modificar os pacotes em um nível baixo durante a filtragem para evitar a inspeção profunda dos pacotes
  • Ajustar o tamanho da fragmentação do pacote TLS inicial
  • Adicionar um espaço extra para a solicitação HTTP simples
  • Solicitação HTTP simples do tamanho de fragmento
• As Configurações Keepalive permitem configurar o programa para funcionar com conexões keepalive
  • Ativar TCP keepalive
  • Intervalo TCP keepalive
  • TCP keepalive timeout
• As Configurações de exclusão da filtragem permitem excluir tanto redes de wifi, quanto subredes particulares (especificadas na notação CIDR) da filtragem DNS
  • Excluir intervalos de IP especificados da filtragem
  • Intervalos de IP excluídos da filtragem
  • Excluir nomes especificados de redes Wi-Fi (SSID) da filtragem DNS
• As Opções ligadas ao DNS perfitem refinar as configurações do DNS
  • Usar upstreams de DNS fallback
  • Usar HTTP/3 para DNS-over-HTTPS
  • Consultar upstreams DNS en paralelo
  • Responder siempre a las consultas DNS erróneas
• As opções de certificados de segurança permitem verificar o certificados dos sites e serviços web
  • Checar o certificado de transparência dos sites
  • Habilitar verificações assíncronas de revogação de certificados OCSP SSL/TLS
• Opção de ativar a filtragem na inicialização do sistema. Agora, por padrão, o AdGuard para Windows não filtra o tráfego após o início automático durante a inicialização do sistema. Se você quiser que a filtragem seja realizada mesmo que o AdGuard não seja lançado, você deve habilitar esta opção.

Para mais detalhes sobre todas as configurações avançadas, tanto as novas, quanto as outras, dê uma olhada em nossa Base de conhecimento.

Além das mudanças descritas acima, tivemos ainda muito trabalho: atualizamos o CoreLibs, DnsLibs, Scriplets, drivers WFP e TDI, corrigimos diferentes bugs e melhoramos várias funcionalidades. O changelog completo do AdGuard v7.13 para Windows está disponível no GitHub.