Када посећујете сајт преко HTTPS (HTTP преко TLS), TLS протокол спречава да подаци у транзиту буду прочитани или манипулисани од стране нападача у средини, а x.509 сертификат добијен од Сертификат Ауторитета (CA) потврђује да се корисник заправо повезује на сервер који представља име домена у адресној траци прегледача. Модерни прегледачи указују да је веза несигурна ако не користи TLS, и захтевају да TLS веза буде аутентификована од стране CA-издатог x.509 сертификата.

Када посећујете сајт преко протокола Онион Услуга, Тор протокол спречава да подаци у транзиту буду прочитани или манипулисани од стране нападача у средини, а протокол Онион Услуга потврђује да је корисник повезан на име домена у адресној траци прегледача. Није потребан сертификат ауторитета за овај доказ, јер је име услуге стварни јавни кључ који се користи за аутентификацију основне везе.

Како је ".onion" специјално име домена највишег нивоа, већина Сертификат Ауторитета нема подршку за издавање X.509 сертификата за онион сајтове. Тренутно, HTTPS сертификате пружају само:

  • DigiCert са Extended Validation (EV) TLS сертификатом, што значи значајан трошак за организацију.
  • HARICA са Domain Validation (DV) TLS сертификатима.

Ипак, постоје неки специфични случајеви у којима бисте требали или желели да имате HTTPS за ваш онион сајт.

Саставили смо неке теме и аргументе, тако да можете анализирати шта је најбоље за ваш онион сајт:

  1. Како свако може генерисати онион адресу и њених 56 насумичних алфанумеричких карактера, неки администратори предузећа верују да повезивање њиховог онион сајта са HTTPS сертификатом може бити решење за најаву њихове услуге корисницима. Корисници би требало да кликну и изврше ручну верификацију, и то би показало да посећују онион сајт који очекују. Алтернативно, вебсајтови могу пружити друге начине за верификацију своје онион адресе користећи HTTPS, на пример, повезивањем своје онион сајт адресе са HTTPS-аутентификоване странице, или коришћењем Onion-Location.

  2. Још једна тема ове дискусије су очекивања корисника и модерни прегледачи. Иако постоји обимна критика у вези са HTTPS и CA моделом поверења, заједница за информациону безбедност је научила кориснике да траже HTTPS када посећују вебсајт као синоним за сигурну везу, и да избегавају HTTP везе. Тор програмери и UX тим су радили заједно како би донели ново корисничко искуство за кориснике Тор претраживача, тако да када корисник посети онион сајт користећи HTTP, Тор претраживач не приказује упозорење или поруку о грешци.

  3. Један од ризика коришћења сертификата издатог од CA је да .onion имена могу ненамерно бити процурела ако власници Онион Услуга користе HTTPS због Транспарентности сертификата. Постоји отворени предлог да се дозволи Тор претраживачу да верификује самостално креиране HTTPS сертификате. Ако се овај предлог имплементира, оператор Онион Услуге би могао направити свој сопствени HTTPS ланац сертификата користећи онион кључ за потписивање. Тор претраживач би знао како да верификује такав самостално креиран ланац. Ово ће значити да не морате укључивати трећу страну у његово прављење, тако да ниједна трећа страна неће знати да ваш онион постоји.

  4. Неки вебсајтови имају сложено подешавање и служе HTTP и HTTPS садржај. У том случају, само коришћење Онион услуга преко HTTP-а може открити сигурносне колачиће. Писали смо о безбедносним очекивањима Тор претраживача, и како радимо на употребљивости и усвајању Онион услуга. Постоје неке алтернативе које можда желите да испробате да бисте решили овај проблем:

    • Да бисте избегли коришћење HTTPS сертификата за ваш онион, најлакши одговор је да напишете сав свој садржај тако да користи само релативне линкове. На тај начин ће садржај радити глатко, независно од тога са ког имена вебсајта се служи.
    • Друга опција је да користите правила веб сервера за преписивање апсолутних линкова у ходу.
    • Или користите реверзни прокси у средини (конкретније Onionspray са HTTPS сертификатом).

  5. У вези са претходном тачком, неки протоколи, оквири и инфраструктуре користе SSL као технички захтев; неће радити ако не виде "https://" линк. У том случају, ваша Онион Услуга ће морати да користи HTTPS сертификат да би функционисала.

  6. Заправо HTTPS вам даје мало више од Онион услуга. На пример, у случају када веб сервер није на истој локацији као Тор програм, потребно је да користите HTTPS сертификат да бисте избегли излагање нешифрованог саобраћаја мрежи између њих двоје. Запамтите да не постоји захтев да веб сервер и Тор процес буду на истој машини.

Шта је следеће

Недавно, 2020. године, Форум за сертификатне ауторитете/прегледаче је гласао и одобрио верзију 3 онион сертификата, тако да CA сада могу издавати сертификате за валидацију домена (DV) и валидацију организације (OV) који садрже Тор онион адресе. У блиској будућности, надамо се да ће Let's Encrypt CA почети да издаје v3 онион сертификате бесплатно.

Прочитајте више