Saat mengunjungi sebuah situs melalui HTTPS (HTTP melalui TLS), protokol TLS mencegah data dalam perjalanan dibaca atau dimanipulasi oleh serangan man-in-the-middle, dan sertifikat x.509 yang diperoleh dari Certificate Authority (CA) memvalidasi bahwa pengguna benar-benar terhubung ke server yang mewakili nama domain di bilah alamat browser. Browser modern menunjukkan bahwa koneksi tidak aman jika tidak menggunakan TLS, dan mengharuskan koneksi TLS diautentikasi oleh sertifikat x.509 yang diterbitkan CA.

Saat mengunjungi sebuah situs melalui protokol Onion Services, protokol Tor mencegah data dalam perjalanan dibaca atau dimanipulasi oleh serangan man-in-the-middle, dan protokol Onion Service memvalidasi bahwa pengguna terhubung ke nama domain di bilah alamat browser. Tidak diperlukan certificate authority untuk pembuktian ini, karena nama layanan adalah kunci publik sebenarnya yang digunakan untuk mengautentikasi koneksi yang mendasarinya.

Karena ".onion" adalah nama domain tingkat atas khusus, sebagian besar Certificate Authority tidak memiliki dukungan untuk menerbitkan sertifikat X.509 bagi situs onion. Saat ini, sertifikat HTTPS hanya disediakan oleh:

• DigiCert dengan sertifikat TLS Extended Validation (EV), yang berarti biaya yang cukup besar bagi sebuah organisasi.
• HARICA dengan sertifikat TLS Domain Validation (DV).

Meski begitu, ada beberapa kasus spesifik di mana Anda akan perlu atau ingin memiliki HTTPS untuk situs onion Anda.

Kami mengompilasi beberapa topik dan argumen, sehingga Anda dapat menganalisis apa yang terbaik untuk situs onion Anda:

1. Karena siapa pun dapat menghasilkan sebuah alamat onion beserta 56 karakter alfanumerik acaknya, beberapa administrator perusahaan percaya bahwa mengaitkan situs onion mereka dengan sertifikat HTTPS dapat menjadi solusi untuk mengumumkan layanan mereka kepada pengguna. Pengguna perlu mengeklik dan melakukan verifikasi manual, dan itu akan menunjukkan bahwa mereka mengunjungi situs onion yang mereka harapkan. Sebagai alternatif, situs web dapat menyediakan cara lain untuk memverifikasi alamat onion mereka menggunakan HTTPS, misalnya menautkan alamat situs onion mereka dari halaman yang diautentikasi dengan HTTPS, atau menggunakan Onion-Location.

2. Topik lain dari diskusi ini adalah ekspektasi pengguna dan browser modern. Walaupun ada kritik luas terhadap HTTPS dan model kepercayaan CA, komunitas keamanan informasi telah mengajarkan pengguna untuk mencari HTTPS saat mengunjungi sebuah situs web sebagai sinonim koneksi aman, dan untuk menghindari koneksi HTTP. Pengembang Tor dan tim UX bekerja sama untuk menghadirkan pengalaman pengguna baru bagi pengguna Tor Browser, sehingga ketika pengguna mengunjungi situs onion menggunakan HTTP, Tor Browser tidak menampilkan peringatan atau pesan kesalahan.

3. Salah satu risiko menggunakan sertifikat yang diterbitkan oleh CA adalah bahwa nama .onion dapat secara tidak sengaja bocor jika pemilik Onion Service menggunakan HTTPS karena Certificate Transparency. Ada proposal terbuka untuk memungkinkan Tor Browser memverifikasi sertifikat HTTPS yang dibuat sendiri. Jika proposal ini diimplementasikan, operator Onion Service dapat membuat rantai sertifikat HTTPS mereka sendiri menggunakan kunci onion untuk menandatanganinya. Tor Browser akan tahu cara memverifikasi rantai yang dibuat sendiri tersebut. Ini berarti Anda tidak perlu melibatkan pihak ketiga untuk membuatnya, sehingga tidak ada pihak ketiga yang akan mengetahui bahwa onion Anda ada.

4. Beberapa situs web memiliki penyiapan yang kompleks, dan menyajikan konten HTTP dan HTTPS. Dalam hal itu, hanya menggunakan Onion Services melalui HTTP dapat membocorkan cookie aman. Kami menulis tentang ekspektasi keamanan Tor Browser, dan bagaimana kami mengerjakan kegunaan serta adopsi Onion Services. Ada beberapa alternatif yang mungkin ingin Anda coba untuk mengatasi masalah ini:

   • Untuk menghindari penggunaan sertifikat HTTPS untuk onion Anda, jawaban termudah adalah menulis semua konten Anda agar hanya menggunakan tautan relatif. Dengan cara ini konten akan bekerja dengan lancar, terlepas dari nama situs web apa yang digunakan untuk menyajikannya.
   • Opsi lain adalah menggunakan aturan webserver untuk menulis ulang tautan absolut secara dinamis.
   • Atau gunakan reverse proxy di tengah (lebih spesifik Onionspray dengan sertifikat HTTPS).

5. Terkait poin sebelumnya, beberapa protokol, framework, dan infrastruktur menggunakan SSL sebagai persyaratan teknis; mereka tidak akan berfungsi jika tidak melihat tautan "https://". Dalam hal itu, Onion Service Anda perlu menggunakan sertifikat HTTPS agar dapat berfungsi.

6. Sebenarnya HTTPS memang memberi Anda sedikit lebih banyak daripada Onion Services. Sebagai contoh, pada kasus ketika webserver tidak berada di lokasi yang sama dengan program Tor, Anda perlu menggunakan sertifikat HTTPS untuk menghindari mengekspos lalu lintas yang tidak terenkripsi pada jaringan di antara keduanya. Ingat bahwa tidak ada persyaratan agar webserver dan proses Tor harus berada di mesin yang sama.

Apa selanjutnya

Baru-baru ini pada tahun 2020, Certificate Authority/Browser Forum melakukan pemungutan suara dan menyetujui sertifikat onion versi 3, sehingga CA kini diizinkan menerbitkan sertifikat Domain Validation (DV) dan Organization Validation (OV) yang memuat alamat onion Tor. Dalam waktu dekat, kami berharap CA Let's Encrypt dapat mulai menerbitkan sertifikat onion v3 secara gratis.

Baca selengkapnya

• Untuk panduan langkah demi langkah yang rinci tentang cara membuat sertifikat onion HTTPS, lihat posting blog Brave.
• Tor Browser dan Onion Services - Tantangan dan Peluang (2020)
• Facebook, hidden services, dan sertifikat https (2014)
• DigiCert: Dapatkan sertifikat TLS dengan Extended Validation (EV) untuk situs onion Anda (2015)
• HARICA: Dapatkan sertifikat TLS dengan Domain Validation (DV) untuk situs onion Anda (2021)
• Nama Domain Special-Use ".onion" - IETF RFC 7686
• Onionspray