Tor需要SSL吗？

Question

前段时间，我读到了Facebook being accessible over Tor，我不能忽视他们的官方网址https://facebookcorewwwi.onion/不仅会显示HTTPS，还会显示为.onion域名颁发的有效证书（实际上是历史上的第一个） ）。

然后问题出现了：鉴于Tor协议的性质，使用HTTPS加密点对点通信，为什么？它为普通HTTP增加了哪些优势？

我将在答案中分享我的结论

Answer 1

SSL （今天的TLS）旨在保护通过电子线发送的数据，验证您要向其发送数据的服务器（它可以也是对客户进行身份验证，但它已超出了我们的范围）。因此，如果攻击者可以通过窃听和修改进行普通HTTP，则可以通过该通道快速发送HTTPS流量，并确保仅 < em>合法的收件人（＆＃34;仅＃34;和＃34;合法＆＃34;单独强调）。

Tor添加匿名。加上上述要求，基本上Tor会阻止客户端的定位。你知道Facebook，但Facebook不了解你。 Tor网络及其到.onion地址的特殊套接字强制执行加密和身份验证，因为只有具有有效私钥的主机才能将自己注册到特定的.onion域。

因此，如果您知道facebookcorewwwi肯定属于Facebook Inc.，则您不需要额外的加密。或者你呢？

使用证书仍有助于防止通过域欺诈进行网上诱骗。洋葱域名不受ICANN监管，因此任何人都可以生成自己的域名。 This article解释说：

• 每个人都可以轻松生成以给定前缀（例如.onion）开头的exampl地址，但匹配较长前缀的速度非常慢
• 如果有人能够生成facebookcorewwwi，他还能够打破电子商务级密码术。

因此，虽然没有人可以窃取Facebook的独家facebookcorewwwi.onion，但没有人可以窃听facebookcorewwwi.onion的流量，也许幸运的人仍然可以将受害者变成类似Facebook主页的网站或者更糟糕的是facebookkernelwi.onion等。

基本上答案是：

• 在处理加密时，SSL证书不会在Tor Onion域中添加额外的安全性
• SSL证书不会在.onion空间中为主机名添加其他身份验证，因为将来任何人都可能获得任何.onion证书
• 带有EV扩展程序的SSL证书可以证明经过身份验证的.onion主机所有者的真实身份。

Facebook目前尚未将Tor用于他们的Tor网站，如下所示，但我们知道他们的Tor终端目前是实验性的。

Answer 2

Facebook在宣布TOR地址

时在blog中说明了这一点

  

我们决定在此服务上使用SSL，部分原因在于体系结构考虑因素 - 例如，我们将Tor守护程序用作负载均衡器的反向代理，而Facebook流量需要通过该链接保护SSL。因此，我们提供了一份SSL证书，其中引用了我们的洋葱地址;这个机制删除了Tor浏览器对该洋葱地址的“SSL证书警告”，并增加了这项服务真正由Facebook运行的信心。为Tor实现发布SSL证书是 - 在Tor世界中 - 一种新的解决方案，用于归属洋葱地址的所有权;归因的其他解决方案已经成熟，可供考虑，但我们相信这一点为此类讨论提供了一个合适的起点。

Answer 3

Facebook已经使用它来向用户显示这个加密.onion地址真正链接到他们自己的网络，并且还证明它没有网络钓鱼网站，而是证明其真实身份的ssl加密网站。

使用Lets Encrypt将SSL证书添加到.onion网站是最容易保留的真实身份，就像我做的那样！