როცა ეწვევით ხოლმე HTTPS-ის (TLS-ით აღჭურვილი HTTP) მქონე საიტს, TLS-ოქმი ხელს უშლის გადაცემული ინფორმაციის წაკითხვას ან შეცვლას, შუამავალი შემტევების მიერ, ამასთან x.509 სერტიფიკატი, მიღებული უფლებამოსილი გამცემი მხარისგან (CA), ადასტურებს, რომ მომხმარებელი ნამდვილად უკავშირდება იმ სერვერს, რომელიც წარმოადგენს ბრაუზერის მისამართების ველში ჩაწერილ დომენს. თანამედროვე ბრაუზერები მომხმარებელს ანიშნებენ, როცა კავშირი დაუცველია და არ გამოიყენება TLS, ასევე საჭიროა TLS-კავშირი დამოწმებული იყოს CA-გამომცემის x.509 სერტიფიკატით.

როცა საიტს ეწვევით ხოლმე Onion-მომსახურების ოქმით, Tor-ოქმი ხელს უშლის გადაცემული ინფორმაციის წაკითხვას ან შეცვლას, შუამავალი შემტევების მიერ, ამასთან Onion-მომსახურების ოქმი ადასტურებს, რომ მომხმარებელი ნამდვილად უკავშირდება იმ სერვერს, რომელიც წარმოადგენს ბრაუზერის მისამართების ველში ჩაწერილ დომენს. სერტიფიკატის გამცემი არაა საჭირო ამ მისამართის დასამოწმებლად, ვინაიდან თავად მომსახურების სახელი წარმოადგენს საჯარო გასაღებს, კავშირის სანდოობის დასადასტურებლად.

ვინაიდან „.onion“ არის საგანგებო სახის ზედა დონის დომენური სახელი, სერტიფიკატების გამცემების უმეტესობას, არ გააჩნია მხარდაჭერა, Onion-საიტების X.509 სერტიფიკატებით მომარაგების. ამჟამად, HTTPS-სერტიფიკატების მომწოდებელია მხოლოდ:

• DigiCert თავისი Extended Validation (EV) TLS სერტიფიკატით, რაც საკმაოდ მოზრდილი თანხის გადახდას გულისხმობს, დაწესებულებისთვის.
• HARICA Domain Validation (DV) TLS სერტიფიკატებით.

როგორც აღინიშნა, არის გარკვეული შემთხვევები, როცა შეიძლება დაგჭირდეთ ან გსურდეთ HTTPS-ს ქონა თქვენი Onion-საიტისთვის.

ჩვენ შევაგროვეთ რამდენიმე საკითხი და დასაბუთება გასარჩევად, რომ თავად შეარჩიოთ Onion-საიტისთვის საუკეთესო გადაწყვეტა.

1. ვინაიდან ნებისმიერს შეუძლია შეადგინოს Onion-მისამართი 56 ასო-ციფრული სიმბოლოს შერჩევით, ორგანიზაციების ნაწილი შეიძლება მიიჩნევდეს, რომ თავიანთი Onion-საიტისთვის HTTPS-სერტიფიკატის მინიჭება, უკეთ წარუდგენს მომსახურებას მომხმარებლებს. მომხმარებლებს შეიძლება სურდეთ დაწკაპება და ხელით გადამოწმება, ნამდვილად სასურველ Onion-საიტს ესტუმრნენ თუ არა. Alternatively, websites can provide other ways to verify their onion address using HTTPS, for example, linking their onion site address from an HTTPS-authenticated page, or using Onion-Location.

2. მეორე საიკითხია, მომხმარებლის მოლოდინები და თანამედროვე ბრაუზერები. მიუხედავად იმისა, რომ ბევრი იწუნებს, კიცხავს HTTPS-სა და CA-გამცემების მოდელს, ინფორმაციის უსაფრთხოების საზოგადოებებში დადგენილია, რომ მომხმარებლები საიტზე სტუმრობისას დიდ ყურადღებას აქცევენ HTTPS-ს და მას აიგივებენ უსაფრთხო კავშირთან, HTTP-კავშირების საპირისპიროდ. Tor-ის შემმუშავებლებმა და UX-გუნდთან ერთად, Tor-ის მომხმარებელთათვის წარადგინეს ახალი გადაწყვეტა, რომ მომხმარებელს, HTTP-ს მქონე Onion-საიტზე სტუმრობისას, Tor-ბრაუზერი აღარ უჩვენებს გაფრთხილების ან შეცდომის ცნობას.

3. უფლებამოსილი გამომცემის მიერ გამოშვებული სერტიფიკატის ერთ-ერთი საფრთხე ისაა, რომ ხერხდება .onion სახელების უნებლიე მოპოვება გაჟონვა, თუ Onion-მომსახურების მფლობელები იყენებენ HTTPS-ს, სერტიფიკატების გამჭვირვალობიდან გამომდინარე. აქაა ღია შეთავაზება, რომ Tor-ბრაუზერს შეეძლოს თვითშედგენილი HTTPS-სერტიფიკატების დამოწმება. თუ ამ შეთავაზებას დათანხმდებიან, Onion-მომსახურების მმართველებს, შეეძლებათ შექმნან HTTPS-სერტიფიკატების საკუთარი ჯაჭვი, Onion-გასაღებით ხელმოწერის მეშვეობით. Tor-ბრაუზერს ეცოდინება, როგორ დაამოწმოს ამ სახით თვითშედგენილი ჯაჭვი. შედეგად, აღარ დაგჭირდებათ გარეშე მხარეების ჩარევა და სხვა ვერ შეიტყობს, თქვენი Onion-ის შესახებ.

4. ზოგიერთი ვებსაიტი რთული სახითაა გამართული, HTTP და HTTPS-შიგთავსის მომსახურებისთვის. იმ შემთხვევაში, უბრალოდ Onion-მომსახურების HTTP-ით გამოყენებისას, შესაძლოა გაჟონოს, უსაფრთხო ფუნთუშებმა. ჩვენ ვწერდით Tor-ბრაუზერის უსაფრთხოების მოლოდინებზე და თუ როგორ ვმუშაობთ, Onion-მომსახურებების სარგებლიანობისა და თავსებადობის ამაღლებაზე. არის სხვა შესაძლებლობებიც, რომლებიც შეიძლება მოისინჯოს, ამ სირთულის გადასაწყვეტად:

   • იმისთვის, რომ აირიდოთ HTTPS-სერტიფიკატი თქვენი Onion-ისთვის, მარტივი პასუხია, თავად დაწეროთ ყველა მასალა, რომ გამოიყენებოდეს მხოლოდ შიდა ბმულები. შედეგად, შიგთავსი იმუშავებს შეუფერხებლად იმისდა მიუხედავად, ვებსაიტის სახელი რომელი მომსახურებითაა.
   • კიდევ ერთი გზაა, გამოიყენოთ ვებსერვერის წესები, აბსოლუტური ბმულების შემდეგ გადასაწერად.
   • ან გამოიყენეთ შებრუნებული პროქსი შუამავლად (კერძოდ, EOTK, HTTPS-სერტიფიკატით).

5. როგორც წინა საკითხში აღინიშნა, ოქმების ნაწილი, სამუშაო გარსები და სისტემები იყენებს SSL-ს ტექნიკური საჭიროებისდა გამო; ისინი ვერ იმუშავებს, თუ ბმულში არ შეხვდა „https://“. ამ შემთხვევაში, თქვენს Onion-მომსახურებას დასჭირდება HTTPS-სერტიფიკატის გამოყენება, სათანადო მუშაობისთვის.

6. სინამდვილეში, HTTPS-ს შეუძლია ცოტა მეტი მოგცეთ, ვიდრე Onion-მომსახურებებმა. მაგალითად, როცა ვებსერვერი არაა იმავე მისამართზე, სადაც Tor-პროგრამაა, დაგჭირდებათ HTTPS-სერტიფიკატი, მათ შორის არსებულ ქსელში დაუშიფრავი მიმოცვლიდან მონაცემების გამჟღავნების ასარიდებლად. დაიხსომეთ, რომ არანაირი აუცილებლობა არაა ვებსერვერი და Tor-პროცესი ერთსა და იმავე აპარატურაზე იყოს გაშვებული.

შემდეგ რა არის

2020 წლის ბოლოს, სერტიფიკატების გამცემის/ბრაუზერის ფორუმმა მხარი დაუჭირა და დაამტკიცა ვერსია 3 Onion-სერტიფიკატები, ასე რომ, გამცემების მიერ ახლა უკვე დაშვებულია დომენით დამოწმებული (DV) და კომპანიით დამოწმებული (OV) სერტიფიკატები, რომლებიც Tor-ის Onion-მისამართებს შეიცავს. უახლოეს მომავალში ვიმედოვნებთ, რომ Let's Encrypt CA-გამომცემი შეძლებს დაიწყოს სერტიფიკატების გაცემა v3 ვერსიის Onion-სერტიფიკატებისთვის უფასოდ.

თუ აპირებთ შეიძინოთ HTTPS-სერტიფიკატი, გაითვალისწინეთ, რომ v2 ვერსიის Onion-მომსახურება მოძველებულია და გაუქმდება 2021 წლის ივლისი–ოქტომბრის შუალედში.

იხილეთ ვრცლად

• დაწვრილებითი ნაბიჯებისთვის, თუ როგორ შექმნათ HTTPS Onion-სერტიფიკატი, იხილეთ Brave-ის სვეტზე სტატიაt.
• Tor-ბრაუზერი და Onion-მომსახურებები - გამოწვევები და შესაძლებლობები (2020)
• Facebook, ფარული მომსახურებები და https სერტიფიკატები (2014)
• DigiCert: Get TLS სერტიფიკატი და მისი Extended Validation (EV) თქვენი Onion-მომსახურებისთვის (2015)
• HARICA: მიიღეთ TLS სერტიფიკატი და მისი Domain Validation (DV) თქვენი Onion-საიტისთვის (2021)
• „.onion“ საგანგებო სახის დომენური სახელი - IETF RFC 7686