هنگام بازدید از یک سایت از طریق HTTPS (HTTP over TLS)، پروتکل TLS از خواندن یا دستکاری داده‌های درحال انتقال توسط انسان در حملات مرد میانی جلوگیری می‌کند، و یک گواهی x.509 به دست آمده از یک مرجع صدور گواهی دیجیتال (CA) تأیید می‌کند که کاربر متصل به سروری باشد که در واقع نمایندهٔ نام دامنه در نوار نشانی مرورگر است. مرورگرهای مدرن نشان می‌دهند که یک اتصال در صورت عدم استفاده از TLS، ناامن است و نیاز است که اتصال TLS با گواهی x.509 صادر‌شده از مرجع صدور گواهی دیجیتال (CA) اصالت‌سنجی شود.

هنگام بازدید از یک سایت از طریق پروتکل سرویس‌های Onion ، پروتکل Tor از خواندن یا دستکاری داده‌های درحال انتقال توسط مرد میانی جلوگیری می‌کند، و پروتکل سرویس Onion تأیید می‌کند که کاربر به نام دامنه در نوار نشانی مرورگر متصل است. به هیچ مرجع صدور گواهی دیجیتالی برای این اثبات نیاز نیست، زیرا نام سرویس، کلید عمومی فعلی است که برای اصالت‌سنجی اتصال زیرین استفاده می‌شود.

از آنجایی که «‎.onion» یک نام دامنهٔ سطح‌بالای ویژه است، اکثر مراجع صدور گواهی دیجیتال از صدور گواهی X.509 برای سایت‌های Onion پشتیبانی نمی‌کنند. درحال‌حاضر، گواهی‌های HTTPS را فقط این مراجع ارائه می‌کنند:

• DigiCert با گواهی TLS اعتبارسنجی گسترش‌یافته (EV) که به معنای هزینهٔ قابل‌توجهی برای یک سازمان است.
• HARICA با گواهی‌های TLS اعتبارسنجی دامنه (DV).

باوجوداین، موارد خاصی وجود دارد که شما نیاز دارید یا می‌خواهید یک HTTPS برای سایت onion خود داشته باشید.

ما برخی از موضوعات و بحث‌ها را گردآوری کردیم، تا بتوانید تحلیل کنید کدام گزینه برای سایت Onion شما بهترین است:

1. از آنجایی که هر کسی می‌تواند یک نشانی Onion و 56 نویسهٔ الفبا عددیِ تصادفی آن را تولید کند، برخی از مدیران سازمانی باور دارند که ارتباط‌دادن سایت Onion خود به گواهی HTTPS ممکن است راه حلی برای اعلام خدمات خود به کاربران باشد. کاربران باید کلیک کرده و یک تأیید دستی انجام دهند، این نشان‌دهندهٔ بازدید از سایت Onion مورد نظرشان است. در عوض، وب‌سایت‌ها می‌توانند راه‌های دیگری برای تأیید نشانی Onion خود را با استفاده از HTTPS ارائه دهند، برای مثال، پیوند‌دادن نشانی سایت Onion خود از یک صفحه اصالت‌سنجی‌شده توسط HTTPS یا استفاده از Onion-Location.

2. موضوع دیگر این بحث انتظارات کاربران و مرورگرهای مدرن است. درحالی‌که انتقادات گسترده‌ای در مورد HTTPS و مدل اعتماد CA وجود دارد، جامعهٔ امنیت اطلاعات به کاربران آموزش داده است که هنگام بازدید از یک وب‌سایت به‌عنوان نمادی از اتصال امن به‌دنبال HTTPS باشند و از اتصالات HTTP اجتناب کنند. تیم توسعه‌دهندگان Tor و تیم UX همکاری کردند تا تجربه کاربری جدیدی را برای کاربران مرورگر Tor به ارمغان بیاورند، بنابراین وقتی کاربر با استفاده از HTTP از یک سایت Onion بازدید می‌کند، مرورگر Tor هشدار یا پیام خطا نمایش نمی‌دهد.

3. یکی از خطرات استفاده از گواهی صادر‌شده توسط CA این است که اگر دارندگان سرویس Onion به دلیل شفافیت گواهی از HTTPS استفاده کنند، ممکن است نام‌های ‎.onion به‌طور ناخواسته درز پیدا کنند. این یک طرح پیشنهادی باز است که به مرورگر Tor اجازه می‌دهد گواهی‌های HTTPS خود-ساخته را تأیید کند. اگر این طرح پیشنهادی اجرا شود، یک اپراتور سرویس Onion می‌تواند زنجیرهٔ گواهی HTTPS خود را برای امضاکردن آن گواهی با استفاده از کلید Onion بسازد. مرورگر Tor می‌داند که چگونه چنین زنجیرهٔ خود-ساخته‌ای را تأیید کند. این بدان معنی است که نیازی به مشارکت شخص ثالث در ساختن آن ندارید، بنابراین هیچ شخص ثالثی متوجه وجود Onion شما نخواهد شد.

4. برخی از وب‌سایت‌ها تنظیمات پیچیده‌ای دارند و محتوای HTTP و HTTPS را ارائه می‌دهند. In that case, just using Onion Services over HTTP could leak secure cookies. ما در مورد انتظارات امنیتی مرورگر Tor و نحوهٔ کارمان روی کاربردپذیری و سازگاری سرویس‌های Onion نوشتیم. چند (روش) جایگزین وجود دارد که ممکن است بخواهید برای رسیدگی به این مشکل امتحان کنید:

   • برای جلوگیری از استفاده از گواهی HTTPS برای Onion خود، ساده‌ترین پاسخ این است که تمام محتوای خود را طوری نوشته که فقط از پیوندهای نسبی استفاده کند. به‌این‌ترتیب محتوا مستقل از اینکه از چه نام وب‌سایتی ارائه می‌شود، بی‌دردسر کار می‌کند.
   • گزینه دیگر استفاده از قوانین وب‌سرور برای بازنویسی پیوندهای مطلق در لحظه است.
   • Or use a reverse proxy in the middle (more specifically Onionspray with an HTTPS certificate).

5. در رابطه با نکته قبل، برخی از پروتکل‌ها، چارچوب‌ها و زیرساخت‌ها از SSL به‌عنوان یک الزام فنی استفاده می‌کنند و اگر پیوند «https://» را نبینند کار نخواهند کرد. در آن صورت، سرویس Onion شما برای کارکردن نیاز به گواهی HTTPS دارد.

6. در واقع HTTPS کمی بیشتر از سرویس‌های Onion به شما (امکانات) می‌دهد. برای مثال، در مواردی که وب‌سرور در همان مکان برنامهٔ Tor نیست، باید از گواهی HTTPS استفاده کرده تا از افشاء ترافیک رمزگذاری نشده در شبکه بین این دو جلوگیری کنید. به یاد داشته باشید که هیچ الزامی برای قرارگیری وب‌سرور و پردازهٔ Tor روی دستگاه یکسان وجود ندارد.

گام بعدی چیست

اخیراً در سال ۲۰۲۰، انجمن مرجع صدور گواهی دیجیتال/مرورگر، گواهی‌های Onion نسخهٔ ۳ را تأییدو به آن رأی داد، بنابراین CAها اکنون مجاز به صدور گواهی‌های اعتبارسنجی دامنه (DV) و اعتبارسنجی سازمان (OV) دربردارندهٔ نشانی‌های Onion Tor هستند. در آیندهٔ نزدیک، امیدواریم Let's Encrypt بتواند صدور گواهی‌های Onion v3 را به‌صورت رایگان آغاز کند.

بیشتر بخوانید

• برای راهنمای گام به گام نحوهٔ ایجاد گواهی Onion HTTPS، پست وبلاگ Brave را بررسی کنید.
• مرورگر Tor و خدمات Onion - چالش‌ها و فرصت‌ها (۲۰۲۰)
• فیس‌بوک، خدمات پنهان، و گواهی‌های https (۲۰۱۴)
• DigiCert: دریافت گواهی TLS با اعتبارسنجی توسعه یافته (EV) برای سایت Onion خود (۲۰۱۵)
• HARICA: دریافت یک گواهی TLS با اعتبارسنجی دامنه (DV) برای سایت Onion خود (۲۰۲۱)
• نام دامنه با استفاده ویژهٔ ‎«.onion» ‎‏ - ‎IETF RFC 7686
• Onionspray