При посещении сайта по протоколу HTTPS (HTTP через TLS) протокол TLS предотвращает чтение или манипулирование передаваемыми данными в случае атаки "человек посередине" (man in the middle), и сертификат x.509, полученный от центра сертификации (CA), подтверждает, что пользователь действительно подключается к серверу, представляющему доменное имя в адресной строке браузера.
Современные браузеры сообщают о том, что подключение небезопасно, если оно не использует TLS, и требуют, чтобы TLS-соединение было аутентифицировано сертификатом x.509, выданным центром сертификации.
При посещении сайта по протоколу Onion-ресурсов протокол Tor предотвращает чтение или манипулирование передаваемыми данными в случае атаки "человек посередине" (man in the middle), а протокол Onion-ресурса проверяет, подключен ли пользователь к доменному имени в адресной строке браузера.
Для доказательства этого не требуется центр сертификации, поскольку имя службы является фактически открытым ключом, используемым для проверки подлинности базового подключения.
Поскольку ".onion" – это специальное доменное имя верхнего уровня, большинство центров сертификации не поддерживают выдачу сертификатов x.509 для onion-сайтов.
В настоящее время сертификаты HTTPS предоставляются только:
- DigiCert с сертификатом TLS расширенной проверки (EV – Extended Validation ), что означает значительные затраты для организации.
- HARICA с сертификатами TLS проверки домена (DV – Domain Validation).
Тем не менее, есть некоторые конкретные случаи, когда вам понадобится или вы захотите иметь HTTPS для вашего onion-сайта.
Мы собрали некоторые темы и аргументы, чтобы вы могли проанализировать, что больше подходит для вашего onion-сайта:
Поскольку любой может сгенерировать onion-адрес и его 56 случайных буквенно-цифровых символов, некоторые администраторы сайтов считают, что связывание их onion-сайта с сертификатом HTTPS может быть решением для подтверждения их услуг пользователям.
Пользователям нужно будет выполнить вручную проверку, которая покажет, что они посещают требуемый onion-сайт.
Кроме того, веб-сайты могут предоставлять другие способы проверки своего onion-адреса с помощью HTTPS, например, связывая свой адрес onion-сайта со страницы, аутентифицированной https, или используя Onion-Location.
Еще одной темой данного обсуждения являются ожидания пользователей и современные браузеры.
Хотя существует обширная критика в отношении HTTPS и модели доверия CA, сообщество информационной безопасности научило пользователей оценивать наличие HTTPS при посещении веб-сайта как признак безопасного соединения и избегать HTTP-соединений.
Разработчики Tor и команда UX работали вместе, чтобы обеспечить новый пользовательский интерфейс для пользователей Tor Browser, поэтому, когда пользователь посещает onion-сайт с помощью HTTP, Tor Browser не отображает предупреждение или сообщение об ошибке.
Один из рисков использования HTTPS владельцами Onion-ресурсов – это непреднамеренная утечка имен .onion
из-за прозрачности сертификатов, выданных центром сертификации.
Существует открытое предложение, позволяющее Tor Browser проверять самостоятельно созданные сертификаты HTTPS.
Если это предложение будет реализовано, оператор Onion-ресурса может создать свою собственную цепочку сертификатов HTTPS, используя onion-ключ для ее подписания.
Tor Browser будет знать, как проверить такую самостоятельно созданную цепочку.
Это будет означать, что вам не нужно привлекать третью сторону к его изготовлению, поэтому ни одна третья сторона не будет знать, что ваш onoin-ресурс существует.
Некоторые веб-сайты имеют сложную настройку и обслуживают контент HTTP и HTTPS.
В этом случае простое использование Onion Services через HTTP может привести к утечке защищенных cookies.
Мы писали об ожиданиях безопасности Tor Browser и о том, как мы работаем над удобством использования и внедрением Onion-ресурсов.
Есть несколько альтернатив, которые вы, возможно, захотите попробовать для решения этой проблемы:
- Самый простой ответ для исключения использования сертификата HTTPS для вашего onion – написать весь ваш контент так, чтобы в нём были только относительные ссылки.
Таким образом, контент будет работать гладко, независимо от того, с какого имени веб-сайта он обслуживается.
- Другим вариантом является использование правил веб-сервера для переписывания абсолютных ссылок на лету.
- Или используйте обратный прокси в середине (более конкретно Onionspray с сертификатом HTTPS).
С отсылкой к предыдущему пункту – некоторые протоколы, фреймворки и инфраструктуры используют SSL в качестве технического требования; они не будут работать, если не увидят ссылку "https://".
В этом случае для работы Onion-ресурса потребуется использовать сертификат HTTPS.
На самом деле HTTPS дает вам немного больше, чем Onion-ресурс.
Например, в случае, когда веб-сервер не находится в том же расположении, что и программа Tor, вам нужно будет использовать сертификат HTTPS, чтобы избежать предоставления незашифрованного трафика в сеть между ними.
Помните, что нет никаких требований к тому, чтобы веб-сервер и процесс Tor находились на одной машине.
Что дальше
Не так давно, в 2020 году, Центр сертификации / Форум браузера проголосовал и утвердил onion-сертификаты версии 3, поэтому центрам сертификации (CA) теперь разрешено выдавать сертификаты проверки домена (DV) и проверки организации (OV – Organization Validation), содержащие onion-адреса Tor.
В ближайшем будущем мы надеемся, что CA Let's Encrypt сможет начать бесплатно выдавать onion-сертификаты v3.
Подробнее