Під час відвідування сайту через HTTPS (HTTP через TLS) протокол TLS запобігає читанню або маніпулюванню даними під час атаки людиною, а сертифікат x.509, отриманий від центру сертифікації (CA), підтверджує, що користувач фактичне підключення до сервера, який представляє доменне ім’я в адресному рядку браузера. Сучасні браузери вказують на те, що з’єднання є незахищеним, якщо не використовується TLS, і вимагають, щоб з’єднання TLS було автентифіковано сертифікатом x.509, виданим ЦС.

Під час відвідування сайту через протокол Onion Services протокол Tor запобігає читанню або маніпулюванню даними під час передачі з боку людини в середині атаки, а протокол Onion Service перевіряє, що користувач підключений до доменного імені в адресному рядку браузера. Для цього підтвердження не потрібен центр сертифікації, оскільки ім’я служби є фактичним відкритим ключем, який використовується для автентифікації основного з’єднання.

Оскільки «.onion» — це спеціальне доменне ім’я верхнього рівня, більшість центрів сертифікації не підтримують видачу сертифікатів X.509 для сайтів onion. Наразі сертифікати HTTPS надають лише:

  • DigiCert із сертифікатом Extended Validation (EV) TLS, що означає значні витрати для організації.
  • HARICA із сертифікатами TLS перевірки домену (DV).

Тим не менш, є деякі конкретні випадки, коли вам знадобиться або потрібно мати HTTPS для свого сайту onion.

Ми зібрали кілька тем і аргументів, щоб ви могли проаналізувати, що найкраще для вашого сайту цибулі:

  1. Оскільки будь-хто може згенерувати адресу onion і її 56 випадкових буквено-цифрових символів, деякі адміністратори підприємств вважають, що зв’язування їхнього сайту onion із сертифікатом HTTPS може бути рішенням для оголошення своїх послуг користувачам. Користувачам потрібно буде натиснути кнопку та виконати перевірку вручну, і це покаже, що вони відвідують сайт onion, який вони очікують. Крім того, веб-сайти можуть надавати інші способи перевірки своєї адреси onion за допомогою HTTPS, наприклад, посилаючи адресу свого сайту onion зі сторінки з автентифікацією HTTPS або використовуючи Onion-Location.

  2. Ще одна тема цієї дискусії – очікування користувачів і сучасні браузери. Незважаючи на те, що HTTPS і модель довіри CA піддаються значній критиці, спільнота інформаційної безпеки навчила користувачів шукати HTTPS під час відвідування веб-сайту як синонім безпечного з’єднання та уникати HTTP-з’єднань. Розробники Tor і команда UX працювали разом, щоб створити новий досвід для користувачів браузера Tor, тому, коли користувач відвідує сайт onion за допомогою HTTP, браузер Tor не відображає попередження чи повідомлення про помилку.

  3. Один із ризиків використання сертифіката, виданого центром сертифікації, полягає в тому, що імена .onion можуть ненавмисно просочитися, якщо власники Onion Service використовують HTTPS через до Прозорість сертифіката. Існує відкрита пропозиція, щоб дозволити браузер Tor для перевірки самостійно створених сертифікатів HTTPS. Якщо цю пропозицію буде впроваджено, оператор Onion Service зможе створити власний ланцюжок сертифікатів HTTPS, використовуючи цибулевий ключ для його підпису. Браузер Tor міг би перевірити такий самостійно створений ланцюжок. Це означатиме, що вам не потрібно залучати третю сторону до її виготовлення, тож жодна третя сторона не дізнається, що ваша цибуля існує.

  4. Деякі веб-сайти мають складні налаштування та обслуговують вміст HTTP і HTTPS. У цьому випадку просто використання Onion Services через HTTP може призвести до витоку захищених файлів cookie. Ми писали про очікування щодо безпеки браузера Tor і про те, як ми працюємо над зручністю використання та впровадженням Onion Services. Є кілька альтернатив, які ви можете спробувати вирішити цю проблему:

    • Щоб уникнути використання сертифіката HTTPS для вашої цибулі, найпростіша відповідь — написати весь вміст таким чином, щоб він використовував лише відносні посилання. Таким чином вміст працюватиме безперебійно, незалежно від назви веб-сайту, з якого він подається.
    • Іншим варіантом є використання правил веб-сервера для переписування абсолютних посилань на льоту.
    • Або використовуйте зворотний проксі-сервер посередині (точніше Onionspray із сертифікатом HTTPS).

  5. Що стосується попереднього пункту, деякі протоколи, фреймворки та інфраструктури використовують SSL як технічну вимогу; вони не працюватимуть, якщо не бачать посилання "https://". У такому випадку вашій Onion Service потрібно буде використовувати сертифікат HTTPS, щоб функціонувати.

  6. Насправді HTTPS дає вам трохи більше, ніж Onion Services. Наприклад, у випадку, коли веб-сервер знаходиться не в тому самому місці, що й програма Tor, вам потрібно буде використовувати сертифікат HTTPS, щоб уникнути розкриття незашифрованого трафіку в мережі між ними. Пам’ятайте, що веб-сервер і процес Tor не обов’язково повинні бути на одній машині.

Що далі

Нещодавно у 2020 році центр сертифікації/форум веб-переглядачів проголосував і схвалив сертифікати цибулини версії 3, тому центри сертифікації тепер дозволені видавати сертифікати перевірки домену (DV) і перевірки організації (OV), що містять адреси Tor onion. Ми сподіваємося, що найближчим часом центр сертифікації Let's Encrypt почне видавати сертифікати v3 безкоштовно.

Читати далі