При посещении сайта по протоколу HTTPS (HTTP через TLS) протокол TLS предотвращает чтение или манипулирование передаваемыми данными в случае атаки "человек посередине" (man in the middle), и сертификат x.509, полученный от центра сертификации (CA), подтверждает, что пользователь действительно подключается к серверу, представляющему доменное имя в адресной строке браузера. Современные браузеры сообщают о том, что подключение небезопасно, если оно не использует TLS, и требуют, чтобы TLS-соединение было аутентифицировано сертификатом x.509, выданным центром сертификации.

При посещении сайта по протоколу Onion-ресурсов протокол Tor предотвращает чтение или манипулирование передаваемыми данными в случае атаки "человек посередине" (man in the middle), а протокол Onion-ресурса проверяет, подключен ли пользователь к доменному имени в адресной строке браузера. Для доказательства этого не требуется центр сертификации, поскольку имя службы является фактически открытым ключом, используемым для проверки подлинности базового подключения.

Поскольку ".onion" – это специальное доменное имя верхнего уровня, большинство центров сертификации не поддерживают выдачу сертификатов x.509 для onion-сайтов. В настоящее время сертификаты HTTPS предоставляются только:

• DigiCert с сертификатом TLS расширенной проверки (EV – Extended Validation ), что означает значительные затраты для организации.
• HARICA с сертификатами TLS проверки домена (DV – Domain Validation).

Тем не менее, есть некоторые конкретные случаи, когда вам понадобится или вы захотите иметь HTTPS для вашего onion-сайта.

Мы собрали некоторые темы и аргументы, чтобы вы могли проанализировать, что больше подходит для вашего onion-сайта:

1. Поскольку любой может сгенерировать onion-адрес и его 56 случайных буквенно-цифровых символов, некоторые администраторы сайтов считают, что связывание их onion-сайта с сертификатом HTTPS может быть решением для подтверждения их услуг пользователям. Пользователям нужно будет выполнить вручную проверку, которая покажет, что они посещают требуемый onion-сайт. Кроме того, веб-сайты могут предоставлять другие способы проверки своего onion-адреса с помощью HTTPS, например, связывая свой адрес onion-сайта со страницы, аутентифицированной https, или используя Onion-Location.

2. Еще одной темой данного обсуждения являются ожидания пользователей и современные браузеры. Хотя существует обширная критика в отношении HTTPS и модели доверия CA, сообщество информационной безопасности научило пользователей оценивать наличие HTTPS при посещении веб-сайта как признак безопасного соединения и избегать HTTP-соединений. Разработчики Tor и команда UX работали вместе, чтобы обеспечить новый пользовательский интерфейс для пользователей Tor Browser, поэтому, когда пользователь посещает onion-сайт с помощью HTTP, Tor Browser не отображает предупреждение или сообщение об ошибке.

3. Один из рисков использования HTTPS владельцами Onion-ресурсов – это непреднамеренная утечка имен .onion из-за прозрачности сертификатов, выданных центром сертификации. Существует открытое предложение, позволяющее Tor Browser проверять самостоятельно созданные сертификаты HTTPS. Если это предложение будет реализовано, оператор Onion-ресурса может создать свою собственную цепочку сертификатов HTTPS, используя onion-ключ для ее подписания. Tor Browser будет знать, как проверить такую самостоятельно созданную цепочку. Это будет означать, что вам не нужно привлекать третью сторону к его изготовлению, поэтому ни одна третья сторона не будет знать, что ваш onoin-ресурс существует.

4. Некоторые веб-сайты имеют сложную настройку и обслуживают контент HTTP и HTTPS. В этом случае простое использование Onion Services через HTTP может привести к утечке защищенных cookies. Мы писали об ожиданиях безопасности Tor Browser и о том, как мы работаем над удобством использования и внедрением Onion-ресурсов. Есть несколько альтернатив, которые вы, возможно, захотите попробовать для решения этой проблемы:

   • Самый простой ответ для исключения использования сертификата HTTPS для вашего onion – написать весь ваш контент так, чтобы в нём были только относительные ссылки. Таким образом, контент будет работать гладко, независимо от того, с какого имени веб-сайта он обслуживается.
   • Другим вариантом является использование правил веб-сервера для переписывания абсолютных ссылок на лету.
   • Или используйте обратный прокси в середине (более конкретно Onionspray с сертификатом HTTPS).

5. С отсылкой к предыдущему пункту – некоторые протоколы, фреймворки и инфраструктуры используют SSL в качестве технического требования; они не будут работать, если не увидят ссылку "https://". В этом случае для работы Onion-ресурса потребуется использовать сертификат HTTPS.

6. На самом деле HTTPS дает вам немного больше, чем Onion-ресурс. Например, в случае, когда веб-сервер не находится в том же расположении, что и программа Tor, вам нужно будет использовать сертификат HTTPS, чтобы избежать предоставления незашифрованного трафика в сеть между ними. Помните, что нет никаких требований к тому, чтобы веб-сервер и процесс Tor находились на одной машине.

Что дальше

Не так давно, в 2020 году, Центр сертификации / Форум браузера проголосовал и утвердил onion-сертификаты версии 3, поэтому центрам сертификации (CA) теперь разрешено выдавать сертификаты проверки домена (DV) и проверки организации (OV – Organization Validation), содержащие onion-адреса Tor. В ближайшем будущем мы надеемся, что CA Let's Encrypt сможет начать бесплатно выдавать onion-сертификаты v3.

Подробнее

• Для получения подробной пошаговой инструкции по созданию onion-сертификата HTTPS, обратитесь к записи в блоге Brave.
• Tor Browser и Onion-ресурсы – Вызовы и возможности (2020)
• Facebook, скрытые службы и сертификаты https (2014)
• DigiCert: Получите сертификат TLS с расширенной проверкой (EV) для вашего onion-сайта (2015)
• HARICA: Получите сертификат TLS с проверкой домена (DV) для вашего onion-сайта (2021)
• Специальное доменное имя ".onion" – IETF RFC 7686
• Onionspray