Atunci când vizitați un site prin HTTPS (HTTP prin TLS), protocolul TLS împiedică citirea sau manipularea datelor în tranzit de către om în atacurile de mijloc, Și un certificat x.509 obținut de la o Autoritate de Certificare (CA) validează faptul că utilizatorul se conectează efectiv la un server care reprezintă numele de domeniu din bara de adrese a browserului.
Browserele moderne indică faptul că o conexiune este nesigură dacă nu utilizează TLS și necesită ca o conexiune TLS să fie autentificată de un certificat x.509 emis CA.
Când vizitați un site prin protocolul Onion Services, protocolul Tor împiedică citirea sau manipularea datelor în tranzit de către om în atacurile din mijloc, iar protocolul serviciului Onion validează faptul că utilizatorul este conectat la numele de domeniu din bara de adrese a browserului.
Nu este necesară nicio autoritate de certificare pentru această dovadă, deoarece numele serviciului este cheia publică reală utilizată pentru autentificarea conexiunii subiacente.
Deoarece ".onion" este un nume de domeniu special de nivel superior, majoritatea autorităților de certificare nu au suport pentru emiterea certificatelor X.509 pentru site-urile onion.
În prezent, certificatele HTTPS sunt furnizate numai de:
- DigiCert cu un certificat de validare extinsă (EV) TLS, ceea ce înseamnă un cost considerabil pentru o organizație.
- HARICA cu certificatele de validare a domeniului (DV) TLS.
Acestea fiind spuse, există unele cazuri specifice în care ați avea nevoie sau doriți să aveți un HTTPS pentru site-ul dumneavoastră onion.
Am compilat câteva subiecte și argumente, astfel încât să puteți analiza care este cel mai bun pentru site-ul dumneavoastră onion:
Deoarece oricine poate genera o adresă onion și cele 56 caractere alfanumerice aleatorii, unii administratori de întreprinderi consideră că asocierea site-ului lor onion la un certificat HTTPS ar putea fi o soluție pentru a-și anunța serviciul pentru utilizatori.
Utilizatorii ar trebui să facă clic și să facă o verificare manuală, iar acest lucru ar arăta că vizitează site-ul onion pe care îl aștepta.
Alternativ, site-urile web pot oferi alte modalități de a verifica adresa lor onion utilizând HTTPS, de exemplu, conectarea adresei site-ului onion de la o pagină autentificată HTTPS sau utilizarea Onion-Location.
Un alt subiect al acestei discuții sunt așteptările utilizatorilor și browserelor moderne.
Deși există critici extinse cu privire la HTTPS și modelul ca Trust, comunitatea de securitate a informațiilor a învățat utilizatorii să caute HTTPS atunci când vizitează un site web ca sinonim al conexiunii securizate și pentru a evita conexiunile HTTP.
Dezvoltatorii Tor și echipa UX au lucrat împreună pentru a aduce o nouă experiență de utilizator pentru utilizatorii Tor Browser, astfel încât atunci când un utilizator vizitează un site onion folosind HTTP, Tor Browser nu afișează un mesaj de avertizare sau eroare.
Unul dintre riscurile utilizării unui certificat emis de o CA este acela că numele .onion
ar putea fi scurdate în mod neintenționat dacă proprietarii serviciului Onion folosesc HTTPS din cauza la certificatul de transparență.
Există o propunere deschisă pentru a permite Tor Browser să verifice certificatele HTTPS create de sine.
Dacă această propunere este implementată, un operator de servicii Onion ar putea să-și facă propriul lanț de certificate HTTPS folosind o cheie Onion pentru a-l semna.
Tor Browser ar ști cum să verifice un astfel de lanț auto-creat.
Acest lucru va însemna că nu trebuie să implicați un third-party în realizarea acesteia, astfel încât nici un third-party să nu știe că onion-ul dumneavoastră există.
Unele site-uri web au o configurare complexă și servesc conținut HTTP și HTTPS.
In that case, just using Onion Services over HTTP could leak secure cookies.
Am scris despre așteptările de securitate Tor Browser și despre modul în care lucrăm la utilizarea și adoptarea serviciilor Onion.
Există câteva alternative pe care ați putea dori să încercați să abordați această problemă:
- Pentru a evita utilizarea unui certificat HTTPS pentru site-ul dumneavoastră onion, cel mai simplu răspuns este să scrieți tot conținutul, astfel încât să utilizeze numai link-uri relative.
În acest fel, conținutul va funcționa fără probleme, independent de numele site-ului din care este servit.
- O altă opțiune este să folosiți regulile serverului web pentru a rescrie link-uri absolute din mers.
- Or use a reverse proxy in the middle (more specifically Onionspray with an HTTPS certificate).
În legătură cu punctul anterior, unele protocoale, cadre și infrastructuri utilizează SSL ca o cerință tehnică; acestea nu vor funcționa dacă nu văd un link "https://".
În acest caz, serviciul dumneavoastră Onion va trebui să utilizeze un certificat HTTPS pentru a funcționa.
De fapt, HTTPS nu vă oferă un pic mai mult decât servicii Onion.
De exemplu, în cazul în care serverul web nu este în aceeași locație cu programul Tor, ar trebui să utilizați un certificat HTTPS pentru a evita expunerea traficului necriptat la rețea între cele două.
Amintiți-vă că nu există nicio cerință pentru ca serverul web și procesul Tor să fie pe aceeași mașină.
Ce urmează
Recent, în 2020, certificat Authority/Browser Forum a votat și a aprobat versiunea 3 de certificate onion, astfel încât CAs sunt acum permise pentru a emite Validarea Domeniului (DV) și Validarea Organizației (OV) certificate care conțin adrese Tor onion.
În viitorul apropiat, sperăm că Let's Encrypt CA poate începe să emită certificate onion v3 gratuit.
Citiți mai mult