CyberVeille.ch1d ago

📢 RFC 9849 : Publication du standard TLS Encrypted Client Hello (ECH) par l'IETF
📝 ## 🌐 Contexte

Publié le 3 mars 2026 sur le datatracker de l'IETF (https://datatracker.ietf.org/doc/rfc9849/), ce document constitue la **RFC 9849**, un standard de la catégorie *Standa...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-04-rfc-9849-publication-du-standard-tls-encrypted-client-hello-ech-par-l-ietf/
🌐 source : https://datatracker.ietf.org/doc/rfc9849/
#ECH #HPKE #Cyberveille

RFC 9849: TLS Encrypted Client Hello

This document describes a mechanism in Transport Layer Security (TLS) for encrypting a message under a server public key.

IETF Datatracker
Guardian ProjectMar 29

#Mainstream adoption, here we come! The official #Debian package for #curl just got #ECH support:

https://samueloph.dev/blog/i-use-curl-with-ech-btw-in-debian/

#Android has added new polices for enforcing ECH:
https://developer.android.com/reference/android/security/NetworkSecurityPolicy#DOMAIN_ENCRYPTION_MODE_ENABLED

#EncryptedClientHello #TLS #privacy

I use curl with ECH btw (in Debian) | Samuel Henrique (samueloph)

My personal website

Samuel Henrique (samueloph)
Show threadshxMar 27

@samueloph The hard part, for all the self hosting small scale setups, will be the key rotation and DNS part of the story. E.g. implementing https://datatracker.ietf.org/doc/html/draft-ietf-tls-wkech will probably create many fancy scripts with sharp edges until it works for every custom setup.
OTOH if you've a small scale setup with only a handful of domains your anonymity set is so small that the value of ECH might be questionable.
If it help someone: The Caddy guy already ships in beta ECH support with the DNS plugins.

#ech

A well-known URI for publishing service parameters

We define a well-known URI at which an HTTP origin can inform an authoritative DNS server, or other interested parties, about its Service Bindings. Service binding data can include Encrypted ClientHello (ECH) configurations, that may change frequently. This allows the HTTP origin, in collaboration with DNS infrastructure elements, to publish and rotate its own ECH keys. Other service binding data such as information about TLS supported groups is unlikely to change quickly, but the HTTP origin is much more likely to have accurate information when changes do occur. Service data published via this mechanism is typically available via an HTTPS or SVCB resource record.

IETF Datatracker
Patrick Mar 21
One Open-source Project Daily

Multi-platform auto-proxy client, supporting Sing-box, X-ray, TUIC, Hysteria, Reality, Trojan, SSH etc. It’s an open-source, secure and ad-free.

https://github.com/hiddify/hiddify-app

#1ospd #opensource #clash #clashmeta #ech #hysteria #hysteria2 #proxy #reality #shadowsocks #shadowtls #singbox #singbox #ssh #tuic #v2ray #vless #vmess #wireguard #xray
John ShaftMar 19

Yay, #OpenSSL 4.0, set to be released in April, will add support for Encrypted Client Hello (RFC 9849) #ECH

https://github.com/openssl/openssl/blob/openssl-4.0.0-alpha1/CHANGES.md

openssl/CHANGES.md at openssl-4.0.0-alpha1 · openssl/openssl

TLS/SSL and crypto library. Contribute to openssl/openssl development by creating an account on GitHub.

GitHub
Alex ZarzaMar 16
He notado cierto cierto regustillo y felicidad en los comentarios de @ecollado en su último podcast sobre #ECH https://overcast.fm/+AAV0zD9mEpQ
𐑛𐑦𐑕𐑣𐑸𐑥𐑩𐑯𐑦 | dɪsˈhɑːmənɪ | 異議の元素 Mar 8
So the version of cURL distributed on Termuz disabled ECH support for whatever reason. Bloody awesome when you want to rely on readily-available tools for tests.

Edit: The version bundled in Windows also doesn't offer such support. Seems like it's disabled by default.

#curl #Termux #ECH #ESNI
KillBaitMar 8

ECH se convierte en estándar oficial: cómo mejora la seguridad de las conexiones HTTPS

📰 Título original: ECH, la mejora del cifrado web creada por Cloudflare y Apple que enfadó a LaLiga, ya es un estándar oficial

🤖 IA: Es clickbait ⚠️
👥 Usuarios: Es clickbait ⚠️

Ver resumen IA completo: https://killbait.com/es/ech-se-convierte-en-estandar-oficial-como-mejora-la-seguridad-de-las-conexiones-https/?redirpost=937b5ea4-aa39-4cc8-a9d2-e74d3662dc3e

#tecnología #ech #cifrado #tls

ECH se convierte en estándar oficial: cómo mejora la seguridad de las conexiones HTTPS

ECH (Encrypted Client Hello), la extensión desarrollada por Cloudflare y Apple para mejorar la seguridad de las conexiones HTTPS, ha sido oficializada como estándar tras años de desarrollo y pruebas.

Hemeroteca KillBait
KillBait NoticiasMar 8

ECH se convierte en estándar oficial: cómo mejora la seguridad de las conexiones HTTPS

📰 Título original: ECH, la mejora del cifrado web creada por Cloudflare y Apple que enfadó a LaLiga, ya es un estándar oficial

🤖 IA: Es clickbait ⚠️
👥 Usuarios: Es clickbait ⚠️

Ver resumen IA completo: https://killbait.com/es/ech-se-convierte-en-estandar-oficial-como-mejora-la-seguridad-de-las-conexiones-https/?redirpost=937b5ea4-aa39-4cc8-a9d2-e74d3662dc3e

#tecnología #ech #cifrado #tls

ECH se convierte en estándar oficial: cómo mejora la seguridad de las conexiones HTTPS

ECH (Encrypted Client Hello), la extensión desarrollada por Cloudflare y Apple para mejorar la seguridad de las conexiones HTTPS, ha sido oficializada como estándar tras años de desarrollo y pruebas.

Hemeroteca KillBait
Stéphane BortzmeyerMar 5

RFC 9934: Privacy-Enhanced Mail (PEM) File Format for Encrypted ClientHello (ECH)

La technique #ECH permet de boucher une faille de #TLS, la transmission en clair du nom du serveur demandé. Elle est normalisée dans le RFC 9849 mais il y manquait la description d'un format standard pour envoyer les données nécessaires à ECH. C'est désormais fait (et vous reconnaitrez le classique format #PEM).

https://www.bortzmeyer.org/9934.html (avec ma clé privée dans l'article)

Blog Stéphane Bortzmeyer: RFC 9934: Privacy-Enhanced Mail (PEM) File Format for Encrypted ClientHello (ECH)