عند زيارة موقع عبر HTTPS (HTTP عبر TLS), يمنع بروتوكول TLS البيانات التي يتم نقلها من قراءتها أو التلاعب بها من قبل رجل في الهجمات الوسطى ، وشهادة X.509 تم الحصول عليها من مرجع مصدق (CA) هو التحقق من أن المستخدم يتصل بالفعل بخادم يمثل اسم المجال في شريط عنوان المتصفح. تشير المتصفحات الحديثة إلى أن الاتصال غير آمن إذا لم يكن يستخدم TLS ، وتتطلب مصادقة اتصال TLS بواسطة شهادة x.509 الصادرة عن CA.

عند زيارة موقع عبر بروتوكول خدمات onion ، يمنع بروتوكول Tor البيانات التي يتم نقلها من قراءتها أو معالجتها من قبل الرجل في الهجمات الوسطى ، ويتحقق بروتوكول خدمة onion من أن المستخدم متصل باسم المجال في شريط عنوان المتصفح. لا يوجد مرجع مصدق مطلوب لهذا الإثبات، لأن اسم الخدمة هو المفتاح العمومي الفعلي المستخدم لمصادقة الاتصال الأساسي.

مثل ".onion" هو أ اسم نطاق خاص من المستوى الأعلى, لا تدعم معظم المراجع المصدقة إصدار شهادات X.509 لمواقع onion. في الوقت الحالي، يتم توفير شهادات HTTPS فقط بواسطة:

  • DigiCert مع شهادة TLS للتحقق الممتد، مما يعني تكلفة كبيرة للمؤسسة.
  • HARICA مع شهادات TLS للتحقق من صحة المجال.

ومع ذلك، هناك بعض الحالات المحددة التي قد تحتاج فيها أو ترغب في الحصول على HTTPS لموقع onion الخاص بك.

قمنا بتجميع بعض الموضوعات والحجج، حتى تتمكن من تحليل ما هو الأفضل لموقع onion الخاص بك:

  1. نظرًا لأنه يمكن لأي شخص إنشاء عنوان onion و 56 حرفًا أبجديًا رقميًا عشوائيًا، فإن بعض بصل المؤسسة تعتقد أن ربط موقع onion بشهادة HTTPS قد يكون حلاً للإعلان عن خدمتهم للمستخدمين. سيحتاج المستخدمون إلى النقر وإجراء تحقق يدوي ، وسيظهر ذلك أنهم يزورون موقع onion الذي يتوقعونه. بدلاً من ذلك، يمكن لمواقع الويب توفير طرق أخرى للتحقق من عنوان onion الخاص بهم باستخدام HTTPS، على سبيل المثال ، ربط عنوان موقع onion الخاص بهم من صفحة مصادقة HTTPS، أو استخدام Onion-Location.

  2. موضوع آخر لهذه المناقشة هو توقعات المستخدم والمتصفحات الحديثة. على الرغم من وجود انتقادات واسعة النطاق بشأن HTTPS ونموذج ثقة CA، فقد علم مجتمع أمن المعلومات المستخدمين البحث عن HTTPS عند زيارة موقع ويب كمرادف للاتصال الآمن، ولتجنب اتصالات HTTP. عمل مطورو Tor وفريق UX معًا لتقديم تجربة مستخدم جديدة لمستخدمي متصفح Tor، لذلك عندما يزور المستخدم موقع onion باستخدام HTTP لا يعرض متصفح Tor رسالة تحذير أو خطأ.

  3. تتمثل إحدى مخاطر استخدام شهادة صادرة عن مرجع مصدق في أن أسماء .onion قد يتم [تسريبها] دون قصد (https://crt.sh/؟q=.onion) إذا كان مالكو خدمة onion يستخدمون HTTPS بسبب شفافية الشهادة. هناك عرض مفتوح للسماح لمتصفح Tor للتحقق من شهادات HTTPS التي تم إنشاؤها ذاتيًا. إذا تم تنفيذ هذا الاقتراح، يمكن لمشغل خدمة onion إنشاء سلسلة شهادات HTTPS الخاصة به باستخدام مفتاح onion للتوقيع عليه. سيعرف متصفح Tor كيفية التحقق من هذه السلسلة التي تم إنشاؤها ذاتيًا. هذا يعني أنك لست بحاجة إلى إشراك طرف ثالث في صنعه، لذلك لن يعلم أي طرف ثالث بوجود بصلك.

  4. تحتوي بعض مواقع الويب على إعداد معقد وتقدم محتوى HTTP و HTTPS. في هذه الحالة ، قد يؤدي استخدام خدمات onion عبر HTTP فقط إلى التسرب secure cookies. كتبنا عنه توقعات أمان متصفح Tor, وكيف نعمل على سهولة استخدام خدمات onion واعتمادها. هناك بعض البدائل التي قد ترغب في محاولة حلها:

    • لتجنب استخدام شهادة HTTPS onion ، فإن أسهل إجابة هي كتابة كل المحتوى الخاص بك بحيث يستخدم الروابط ذات الصلة فقط. بهذه الطريقة سيعمل المحتوى بسلاسة، بغض النظر عن اسم موقع الويب الذي يتم تقديمه منه.
    • خيار آخر هو استخدام قواعد خادم الويب لإعادة كتابة الروابط المطلقة أثناء التنقل.
    • أو استخدم وكيلًا عكسيًا في الوسط أو بشكل أكثر تحديدًا EOTK مع شهادة HTTPS.

  5. فيما يتعلق بالنقطة السابقة, تستخدم بعض البروتوكولات والأطر والبنى التحتية SSL كمتطلب تقني؛ لن يعملوا إذا لم يروا ملف"https://" link. في هذه الحالة ، سيحتاج onion إلى استخدام شهادة HTTPS حتى يعمل.

  6. في الواقع ، يمنحك HTTPS أكثر قليلاً من خدمات onion. على سبيل المثال ، في حالة عدم وجود خادم الويب في نفس موقع برنامج Tor, ستحتاج إلى استخدام شهادة HTTPS لتجنب تعريض حركة المرور غير المشفرة إلى الشبكة بين الاثنين. تذكر أنه لا توجد متطلبات لخادم الويب وعملية Tor لتكون على نفس الجهاز.

ماذا بعد

مؤخرًا في عام 2020 ، صوّت المرجع المصدق/ منتدى المستعرض و النسخة المعتمدة 3 شهادات onion, لذا يُسمح الآن لـ CA بإصدار شهادات التحقق من صحة المجال (DV) والتحقق من صحة المنظمة (OV) التي تحتوي على عناوين Tor onion. في المستقبل القريب ، نأمل ذلك Let's Encrypt يمكن أن تبدأ CA في إصدار شهادات onion v3 مجانًا.

إذا كنت ستشتري شهادة HTTPS ، فاحذر من ذلك v2 onion إهمال الخدمة سيحدث بين يوليو وأكتوبر 2021.

اقرأ أكثر