Bir site HTTPS (TLS üzerinden HTTP) üzerinden ziyaret edilirken, TLS iletişim kuralı, aktarılan verilerin ortadaki adam saldırılarından korunarak okunmasını veya değiştirilmesini engeller. Bir sertifika yetkilisinden (CA) alınan bir x.509 sertifikası, kullanıcının tarayıcı adres çubuğundaki etki alanını sunan bir sunucuya bağlandığını doğrular. Modern tarayıcılar, TLS kullanılmıyorsa bağlantının güvenli olmadığını belirtir ve bir TLS bağlantısının sertifika yetkilisi tarafından verilen x.509 sertifikasıyla doğrulanmasını gerektirir.

Bir site Onion Hizmeti iletişim kuralı üzerinden ziyaret edilirken, Tor iletişim kuralı, aktarılan verilerin ortadaki adam saldırılarından korunarak okunmasını veya değiştirilmesini engeller. Onion Hizmeti iletişim kuralı, kullanıcının tarayıcı adres çubuğundaki etki alanı ile bağlantı kurduğunu doğrular. Bunu kanıtlamak için bir sertifika yetkilisi gerekmez. Çünkü hizmetin adı, kurulmuş bağlantının kimliğini doğrulamak için kullanılan herkese açık anahtardır.

".onion" özel bir üst düzey etki alanı adı olduğundan, çoğu sertifika yetkilisi onion siteleri için X.509 sertifikası vermez. Şu anda HTTPS sertifikaları yalnızca şu kuruluşlar tarafından sağlanıyor:

  • DigiCert genişletilmiş doğrulama (EV) TLS sertifikası veriyor. Bu sertifikanın bir kuruluşa maliyeti yüksek olur.
  • HARICA etki alanı doğrulama (DV) TLS sertifikaları veriyor.

Bununla birlikte, onion siteniz için bir HTTPS bağlantısına gerek duyacağınız veya olmasını isteyeceğiniz bazı özel durumlar vardır.

Onion siteniz için en iyisini seçebilmeniz için bazı konuları ve görüşleri derledik:

  1. Herkes bir onion adresi ve adresi oluşturan 56 rastgele alfasayısal karakteri üretebileceğinden, bazı kurumsal yöneticiler, sitelerini bir HTTPS sertifikasıyla ilişkilendirmenin, hizmetlerini kullanıcılara duyurmakta yardımcı olabileceğine inanmaktadır. Kullanıcıların tıklayıp el ile doğrulama yapması gerekir. Bu, gitmek istedikleri onion sitesini ziyaret ettiklerini gösterir. Alternatif olarak, web siteleri, onion adreslerini HTTPS kullanarak doğrulamak için başka yollar da sunabilir. Örneğin, HTTPS ile kimliği doğrulanmış bir sayfadan onion sitesi adresini verebilir ya da Onion-Location özelliğini kullanır.

  2. Başka bir tartışma konusu da kullanıcı beklentileri ve modern tarayıcılardır. HTTPS ve sertifika yetkilisi güvenilirlik modeli ile ilgili kapsamlı eleştiriler olsa da, bilgi güvenliği topluluğu, kullanıcılara güvenli bağlantının eşanlamlısı olarak bir web sitesini ziyaret ederken HTTPS bağlantılarına bakmalarını ve HTTP bağlantılarından kaçınmalarını öğretti. Tor geliştiricileri ve kullanıcı deneyimi ekibi, Tor Browser kullanıcıları için yeni bir kullanıcı deneyimi sunmak üzere birlikte çalıştı. Böylece bir kullanıcı HTTP kullanarak bir onion sitesini ziyaret ettiğinde Tor Browser bir uyarı ya da hata iletisi görüntülemez.

  3. Bir sertifika yetkilisi tarafından sağlanan bir sertifikayı kullanmanın risklerinden biri, Onion Hizmeti sahiplerinin sertifika saydamlığı nedeniyle HTTPS kullanırsa .onion adlarının istemeden sızdırılmasıdır. Kendi kendine oluşturulmuş sertifikaların Tor Browser tarafından doğrulanmasını sağlayan bir açık öneri var. Bir Onion Hizmeti işletmecisi bu öneriyi uygulayarak, bir onion anahtarı ile imzalayarak kendi HTTPS sertifika zincirini oluşturabilir. Tor Browser, kendi kendine oluşturulmuş böyle bir zinciri nasıl doğrulayacağını bilir. Böylece, bu işlem için bir üçüncü tarafı gerek kalmaz. Yani hiçbir üçüncü taraf bir onion hizmetinizin var olduğunu bilmez.

  4. Bazı web sitelerinin karmaşık bir kurulumu vardır ve hem HTTP hem de HTTPS üzerinden içerik sunmaktadır. Bu durumda, yalnızca HTTP üzerinden Onion Hizmeti kullanılması güvenli çerezlerin sızmasına neden olabilir. Tor Browser güvenlik beklentileri ile Onion Hizmeti'nin kullanılabilirliği ile benimsenmesi için nasıl çalıştığımızı yazdık. Bu sorunu çözmeye için kullanabileceğiniz bazı alternatifler var:

    • Onion hizmetiniz için bir HTTPS sertifikası kullanmaktan kaçınmanın en kolay yolu, tüm içeriğinizi yazmanızdır. Böylece yalnızca göreli bağlantılar kullanılır. Böylece içerik, hangi web sitesi adından sunulduğundan bağımsız olarak sorunsuz çalışır.
    • Diğer bir seçenek, mutlak bağlantıları anında yeniden yazmak için web sunucusu kurallarını kullanmaktır.
    • Ya da ortada bir ters vekil sunucu (başka bir deyişle HTTPS sertifikalı EOTK) kullanabilirsiniz.
  5. Önceki noktayla ilgili olarak, bazı iletişim kuralları, çatılar ve altyapılar, teknik bir gereklilik olarak SSL kullanır. Bunlar "https://" bağlantısını görmeden çalışmaz. Bu durumda, Onion Hizmeti çalıştırmak için bir HTTPS sertifikası kullanılması gerekir.

  6. Aslında HTTPS size Onion Hizmeti'nden biraz daha fazlasını sunar. Örneğin, web sunucusunun Tor programıyla aynı konumda olmaması durumunda, ikisi arasındaki ağda şifrelenmemiş trafiği aktarmaktan kaçınmak için bir HTTPS sertifikası kullanmanız gerekir. Web sunucusu ile Tor hizmetinin aynı bilgisayar üzerinde olmasının şart olmadığını unutmayın.

Sırada ne var

Yakın zamanda 2020 yılında, Sertifika Yetkilisi/Tarayıcı Forumu oylama yaparak 3. sürüm onion sertifikalarını onayladı. Bu nedenle artık sertifika yetkililerinin Tor onion adresleri için Etki Alanı Doğrulama (DV) ve Organizasyon Doğrulama (OV) sertifikaları vermesine izin veriliyor. Yakın gelecekte, Let's Encrypt sertifika yetkilisinin v3 onion sertifikalarını ücretsiz olarak vereceğini umuyoruz.

Diğer okumalar