Al visitar un sitio sobre HTTPS (HTTP sobre TLS), el protocolo TLS previene que los datos en tránsito sean leídos o manipulados por ataques de intermediario, y un certificado x.509 obtenido de una Autoridad Certificadora (CA) valida que el usuario se está conectando realmente a un servidor representando al nombre de dominio en la barra de direcciones del navegador. Los navegadores modernos indican que una conexión es insegura si no está usando TLS, y requieren que una conexión TLS sea autenticada por un certificado x.509 emitido por una CA.

Al visitar un sitio sobre el protocolo de los servicios cebolla, el protocolo Tor previene que los datos en tránsito sean leídos o manipulados por ataques de intermediarios, y el protocolo del servicio cebolla valida que el usuario esté conectado al nombre de dominio en la barra de direcciones del navegador. No es requerida ninguna autoridad certificadora para esta prueba, porque ese nombre es la clave pública real usada para autenticar a la conexión subyacente.

Como ".onion" es un nombre especial de dominio de nivel superior, la mayoría de las Autoridades Certificadoras no tienen soporte para emitir certificados X.509 para sitios cebolla. Al momento, los certificados HTTPS solamente son provistos por DigiCert con un certificado TLS de Validación Extendida (EV), lo cual significa un costo considerable para una organización.

Dicho eso, hay algunos casos específicos donde necesitarías o desearías tener un HTTPS para tu sitio cebolla.

Compilamos algunos tópicos y argumentos, de manera que puedas analizar qué es lo mejor para tu sitio cebolla:

  1. Como cualquiera puede generar una dirección cebolla y sus 56 caracteres alfanuméricos aleatorios, algunos sitios cebolla corporativos creen que asociando el de ellos a un certificado HTTPS podría ser una solución para anunciar su servicio a los usuarios. Los usuarios necesitarían hacer clic y efectuar una verificación manual, y eso mostraría que están visitando el sitio cebolla que esperaban. Alternativamente, los sitios web pueden proveer otras maneras de verificar sus direcciones cebolla usando HTTPS, por ejemplo, vinculando la dirección de su sitio cebolla desde una página autenticada por HTTPS, o usando Onion-Location.

  2. Otro tópico de esta discusión son las expectativas de los usuarios y los navegadores modernos. Mientras que las críticas al respecto del modelo de confianza del HTTPS y las CA son extensas, la comunidad de seguridad informática le ha enseñado a los usuarios a buscar el HTTPS cuando visitan un sitio web como sinónimo de conexión segura, y evitar las conexiones HTTP. Los desarrolladores de Tor y el equipo UX trabajaron juntos para traer una nueva experiencia de usuario para los usuarios del Navegador Tor, de manera que cuando visitan un sitio cebolla usando HTTP el Navegador Tor no muestra una advertencia o mensaje de error.

  3. Algunos sitios web tienen una configuración compleja, y están sirviendo contenido HTTP y HTTPS. En ese caso, usar solamente servicios cebolla sobre HTTP podría filtrar cookies seguras. Escribimos acerca de las expectativas de seguridad del Navegador Tor, y de cómo estamos trabajando en la usabilidad y adopción de los servicios cebolla. Hay algunas alternativas que podrías querer intentar para encarar este problema:

    • Para evitar usar un certificado HTTPS para tu servicio cebolla, la respuesta más simple es escribir todo tu contenido de manera que use solamente vínculos relativos. Luego, el contenido funcionará consistentemente, sin importar desde qué nombre de sitio web está siendo servido.
    • Otra opción es usar reglas en el servidor web para reescribir vínculos absolutos sobre la marcha.
    • O usar un proxy inverso en el medio, o más específicamente, EOTK con un certificado HTTPS.
  4. Relacionado con el punto previo, algunos protocolos, marcos de trabajo e infraestructuras usan SSL como requeremiento técnico; no funcionarán si no ven un vínculo "https://". En ese caso, tu servicio cebolla necesitará usar un certificado HTTPS para poder funcionar.

  5. En realidad, HTTPS te dá un poquito más que los servicios cebolla. Por ejemplo, en el caso donde el servidor web no está en la misma ubicación que el programa Tor, necesitarías usar un certificado HTTPS para evitar exponer tráfico no cifrado a la red entre los dos. Recuerda que no hay un requerimiento para que el servidor web y el proceso Tor estén en la misma máquina.

Qué es lo que sigue

Recientemente en 2020, el Foro Autoridad Certificadora/Navegador votó y aprobó la versión 3 de certificados cebolla, de manera que a las CAs ahora les está permitido emitir certificados de Validación de Dominio (DV) y Validación de Organización (OV) conteniendo direcciones cebolla Tor. En el futuro cercano, esperamos que la CA Let's Encrypt pueda empezar a emitir certificados cebolla v3 gratis.

Si vas a comprar un certificado HTTPS, sé conciente que la obsolescencia de los servicios cebolla v2 ocurrirá entre Julio y Octubre de 2021.

Leer más