Можно ли настроить https для .onion сайта?

Question

[DoggoTheKing]

Все .onion сайты, которые я видел, работают на http

UPD: Если можно, то как?

Comments

[DoggoTheKing]

Pavel Denisov,
Для красоты

[Alex Wells]

Pavel Denisov, снижение анонимности от httpS?

[Alex Wells]

Pavel Denisov, логично)

[Владимир Дубровин]

Alex Wells,
да, система основанная на публичных сертификатах не устойчива к MitM атакам (т.к. используется небезопасный процесс валидации) и неанонимна. Помимо обращений к сайту еще могут происходить обращения к CRL, что снижает анонимность. Помимо этого, могут всплывать TLS session persistance (aka SSL cookie) которые так же позволяют трекать пользователя.

[Владимир Дубровин]

Ваш вопрос выглядит примерно как "Можно ли к джипу прикрутить седло".

Answer 1

[Владимир Дубровин]

HTTPS настроить можно на самоподписаных сертификатах, которые надо принимать на стороне клиентов, но не понятно зачем, т.к. потенциальных недостатков это приносит больше, чем преимуществ (преимуществ нет, если только вы не хотите делать аутентификацию клиента на основе сертификата, что странно для анонимности, т.к. у клиента должен быть артефакт в виде сертификата).

Настроить публичные сертификаты так же теоретически можно, несколько публичных CA предлагают возможность получить EV-сертификат для .onion, но даже они предупреждают что это против здравого смысла, т.к. публичность является противоположностью анонимности, ради которой .onion-сайты создаются.

Comments

[Igor]

Onion сервисы создаются так же для анонимности пользователей (не сервиса) и для обхода цензуры.

[Владимир Дубровин]

Igor, в том то и дело, что при посещении .onion сайта с https наружу полетит запрос на проверку CRL, без всякого шифрования, по которому будет понятно что такой-то юзер полез на такой-то onion сайт.

[Igor]

Владимир Дубровин Почему же? Даже те браузеры который поддерживают OCSP & CRL сделают запрос через текущий proxy, соответственно он уйдет через tor. С tor browser (firefox) вообще все понятно.

[Владимир Дубровин]

Igor, это зависит от конфигурации прокси. Работать через tor в целом неудобно, кто-то может перенаправлять в tor только .onion сайты.

[Igor]

Владимир Дубровин, это далеко не единственный способ выстрелить себе в ногу от которого сертификат для .onion домена совсем не защищает

[Владимир Дубровин]

Igor, сертификат для .onion вообще ни от чего не защищает, о том и речь. А вот дополнительные способы выстрелить себе в ногу создает.

Answer 2

[Андрей]

судя по https://blockchainbdgpzk.onion/ можно

Answer 3

[Igor]

Да можно, например digicert продает такие сертификаты но особого смысла нет т.к. трафик к hidden сервисам и так зашифрован.