هنگام بازدید از یک سایت از طریق HTTPS (HTTP over TLS)، پروتکل TLS از خواندن یا دستکاری دادههای درحال انتقال توسط انسان در حملات مرد میانی جلوگیری میکند، و یک گواهی x.509 به دست آمده از یک مرجع صدور گواهی دیجیتال (CA) تأیید میکند که کاربر متصل به سروری باشد که در واقع نمایندهٔ نام دامنه در نوار نشانی مرورگر است.
مرورگرهای مدرن نشان میدهند که یک اتصال در صورت عدم استفاده از TLS، ناامن است و نیاز است که اتصال TLS با گواهی x.509 صادرشده از مرجع صدور گواهی دیجیتال (CA) اصالتسنجی شود.
هنگام بازدید از یک سایت از طریق پروتکل سرویسهای Onion ، پروتکل Tor از خواندن یا دستکاری دادههای درحال انتقال توسط مرد میانی جلوگیری میکند، و پروتکل سرویس Onion تأیید میکند که کاربر به نام دامنه در نوار نشانی مرورگر متصل است.
به هیچ مرجع صدور گواهی دیجیتالی برای این اثبات نیاز نیست، زیرا نام سرویس، کلید عمومی فعلی است که برای اصالتسنجی اتصال زیرین استفاده میشود.
از آنجایی که «.onion» یک نام دامنهٔ سطحبالای ویژه است، اکثر مراجع صدور گواهی دیجیتال از صدور گواهی X.509 برای سایتهای Onion پشتیبانی نمیکنند.
درحالحاضر، گواهیهای HTTPS را فقط این مراجع ارائه میکنند:
- DigiCert با گواهی TLS اعتبارسنجی گسترشیافته (EV) که به معنای هزینهٔ قابلتوجهی برای یک سازمان است.
- HARICA با گواهیهای TLS اعتبارسنجی دامنه (DV).
باوجوداین، موارد خاصی وجود دارد که شما نیاز دارید یا میخواهید یک HTTPS برای سایت onion خود داشته باشید.
ما برخی از موضوعات و بحثها را گردآوری کردیم، تا بتوانید تحلیل کنید کدام گزینه برای سایت Onion شما بهترین است:
از آنجایی که هر کسی میتواند یک نشانی Onion و 56 نویسهٔ الفبا عددیِ تصادفی آن را تولید کند، برخی از مدیران سازمانی باور دارند که ارتباطدادن سایت Onion خود به گواهی HTTPS ممکن است راه حلی برای اعلام خدمات خود به کاربران باشد.
کاربران باید کلیک کرده و یک تأیید دستی انجام دهند، این نشاندهندهٔ بازدید از سایت Onion مورد نظرشان است.
در عوض، وبسایتها میتوانند راههای دیگری برای تأیید نشانی Onion خود را با استفاده از HTTPS ارائه دهند، برای مثال، پیونددادن نشانی سایت Onion خود از یک صفحه اصالتسنجیشده توسط HTTPS یا استفاده از Onion-Location.
موضوع دیگر این بحث انتظارات کاربران و مرورگرهای مدرن است.
درحالیکه انتقادات گستردهای در مورد HTTPS و مدل اعتماد CA وجود دارد، جامعهٔ امنیت اطلاعات به کاربران آموزش داده است که هنگام بازدید از یک وبسایت بهعنوان نمادی از اتصال امن بهدنبال HTTPS باشند و از اتصالات HTTP اجتناب کنند.
تیم توسعهدهندگان Tor و تیم UX همکاری کردند تا تجربه کاربری جدیدی را برای کاربران مرورگر Tor به ارمغان بیاورند، بنابراین وقتی کاربر با استفاده از HTTP از یک سایت Onion بازدید میکند، مرورگر Tor هشدار یا پیام خطا نمایش نمیدهد.
یکی از خطرات استفاده از گواهی صادرشده توسط CA این است که اگر دارندگان سرویس Onion به دلیل شفافیت گواهی از HTTPS استفاده کنند، ممکن است نامهای .onion
بهطور ناخواسته درز پیدا کنند.
این یک طرح پیشنهادی باز است که به مرورگر Tor اجازه میدهد گواهیهای HTTPS خود-ساخته را تأیید کند.
اگر این طرح پیشنهادی اجرا شود، یک اپراتور سرویس Onion میتواند زنجیرهٔ گواهی HTTPS خود را برای امضاکردن آن گواهی با استفاده از کلید Onion بسازد.
مرورگر Tor میداند که چگونه چنین زنجیرهٔ خود-ساختهای را تأیید کند.
این بدان معنی است که نیازی به مشارکت شخص ثالث در ساختن آن ندارید، بنابراین هیچ شخص ثالثی متوجه وجود Onion شما نخواهد شد.
برخی از وبسایتها تنظیمات پیچیدهای دارند و محتوای HTTP و HTTPS را ارائه میدهند.
In that case, just using Onion Services over HTTP could leak secure cookies.
ما در مورد انتظارات امنیتی مرورگر Tor و نحوهٔ کارمان روی کاربردپذیری و سازگاری سرویسهای Onion نوشتیم.
چند (روش) جایگزین وجود دارد که ممکن است بخواهید برای رسیدگی به این مشکل امتحان کنید:
- برای جلوگیری از استفاده از گواهی HTTPS برای Onion خود، سادهترین پاسخ این است که تمام محتوای خود را طوری نوشته که فقط از پیوندهای نسبی استفاده کند.
بهاینترتیب محتوا مستقل از اینکه از چه نام وبسایتی ارائه میشود، بیدردسر کار میکند.
- گزینه دیگر استفاده از قوانین وبسرور برای بازنویسی پیوندهای مطلق در لحظه است.
- Or use a reverse proxy in the middle (more specifically Onionspray with an HTTPS certificate).
در رابطه با نکته قبل، برخی از پروتکلها، چارچوبها و زیرساختها از SSL بهعنوان یک الزام فنی استفاده میکنند و اگر پیوند «https://» را نبینند کار نخواهند کرد.
در آن صورت، سرویس Onion شما برای کارکردن نیاز به گواهی HTTPS دارد.
در واقع HTTPS کمی بیشتر از سرویسهای Onion به شما (امکانات) میدهد.
برای مثال، در مواردی که وبسرور در همان مکان برنامهٔ Tor نیست، باید از گواهی HTTPS استفاده کرده تا از افشاء ترافیک رمزگذاری نشده در شبکه بین این دو جلوگیری کنید.
به یاد داشته باشید که هیچ الزامی برای قرارگیری وبسرور و پردازهٔ Tor روی دستگاه یکسان وجود ندارد.
گام بعدی چیست
اخیراً در سال ۲۰۲۰، انجمن مرجع صدور گواهی دیجیتال/مرورگر، گواهیهای Onion نسخهٔ ۳ را تأییدو به آن رأی داد، بنابراین CAها اکنون مجاز به صدور گواهیهای اعتبارسنجی دامنه (DV) و اعتبارسنجی سازمان (OV) دربردارندهٔ نشانیهای Onion Tor هستند.
در آیندهٔ نزدیک، امیدواریم Let's Encrypt بتواند صدور گواهیهای Onion v3 را بهصورت رایگان آغاز کند.
بیشتر بخوانید