.onion是一个用于在Tor网络上寻址特殊用途的顶级域后缀。这种后缀不属于实际的域名,也并未收录于域名根区中。但只要安装了正确的代理软件,如类似于浏览器的网络软件,即可通过Tor服务器发送特定的请求来访问.onion地址。使用这种技术可以使得信息提供商与用户难以被中间经过的网络主机或外界用户所追踪。

.onion
推出日期2004年
顶级域类型主机后缀
状况并未收录于域名根服务器中,但被Tor客户端、服务器和代理广泛使用
域名注册局Tor
预期使用通过Tor去指定并访问隐藏的服务
实际使用使Tor用户使用提供商和用户均为匿名的服务,且使得其难以被追踪
注册限制当一个隐藏服务被设置好之后,域名就自动被Tor客户端所“注册”
结构公钥自动生成难以理解的字符串作为域名
相关文件
争议政策
注册局网站www.torproject.org

格式 编辑

.onion顶级域的地址为Tor服务配置完成后,由公钥自动生成的难以记忆且不便理解的十六位半字母半数字hash。这种十六位的hash由字母表内任意字母与2至7的十进制数字所组成,以此来表示使用base32加密后的80位数字。通过并行计算生成大量的密钥对的方式来寻找合适的URL并设立起人类可读的.onion地址是可行的(例如以组织名开头)[1][2]

此名称中的“onion”代指为达到匿名目的的洋葱路由技术。

万维网至.onion网关 编辑

诸如Tor2web等的代理服务允许不使用Tor技术的浏览器与搜索引擎访问Tor网络上的隐藏服务。若使用这种网关,用户就放弃了自己的匿名身份并只得相信网关传送的内容是正确的。网关和隐藏服务均可识别出浏览器并得知用户IP地址数据。部分代理使用缓存技术[3]来提供比Tor浏览器更快的访问速度。[4]

.exit 编辑

.exit是一个被Tor用户所使用的伪顶级域(英文:pseudo-top-level domain),用于指示Tor在连接到诸如网页服务器的服务时应该使用的首选出口节点,而无需编辑配置文件 Tor(torrc)。

使用这种伪顶级域的语法是:主机名 + .出口节点 + .exit。如果用户想使用节点tor26访问 http://www.torproject.org/ 的话,输入 http://www.torproject.org.tor26.exit 即可。

这方面的示例包括访问仅适用于特定国家/地区的站点,或检查某个节点是否正常工作。

用户也可直接输入出口节点.exit以访问出口节点的IP地址。

.exit功能由于潜在的应用层的攻击风险而在版本0.2.2.1-alpha中被默认关闭。[5]

官方指定 编辑

.onion域名曾为伪顶级域主机后缀,在概念上与.bitnet以及.uucp的早期使用大致相同。

在2015年9月9日,根据Tor项目的雅各布·阿佩尔鲍姆(英文:Jacob Appelbaum)和Facebook安全工程师Alec Muffett的建议,ICANN互联网号码分配局以及互联网工程任务组将.onion指定为“特殊用途域名”,将其归于官方地位。[6][7][8]

对HTTPS的支持 编辑

来源于Tor网络上恶意出口节点的SSL剥离(英文:SSL Stripping)攻击足以威胁到访问明网上传统的HTTPS站点。尽管加密本身在技术上是冗余的,但.onion地址的网站可以通过证书提供身份保证的附加层赋予Tor原生加密功能。[9]提供HTTPS证书还需启用浏览器功能页面存档备份,存于互联网档案馆),否则这些功能将无法用于.onion站点的用户。

在采用CA/浏览器论坛第144号投票(英文:CA/Browser Forum Ballot 144)之前,只能通过将.onion视为内部服务器名称来获取.onion名称的HTTPS证书。[10]根据CA/浏览器论坛的基准要求,这些证书可能会发布,但必须在2015年11月1日之前到期[11]。尽管有这些限制,四个组织(包括于2013年7月签署的DuckDuckGo[12],2014年10月签署的Facebook[13] ,2014年12月签署的Blockchain.info[14]以及2015年4月签署的The Intercept[15])仍然签署了认证机构合作伙伴关系。

在2015年9月通过CA/浏览器论坛第144号投票和采用.onion为“特殊用途域名”之后,.onion域名通过了RFC 6761的标准[16]。证书颁发机构可以根据CA/浏览器论坛引入于第144号投票[10]里的基准要求[17]中记录的过程来发布.onion站点的SSL证书。

截至2016年8月,DigiCert已签署了7个不同组织的13个.onion域名[18]

另请参阅 编辑

参考文献 编辑

  1. ^ Scallion. GitHub. [2014-11-02]. (原始内容存档于2014-11-12). 
  2. ^ Muffett, Alec. Re: Facebook brute forcing hidden services. tor-talk (邮件列表) (Simple End-User Linux). 2014-10-31 [2014-11-02]. (原始内容存档于2014-11-02). 
  3. ^ Onion.cab: Advantages of this TOR2WEB-Proxy. [2014-05-21]. 原始内容存档于2014-05-21. 
  4. ^ Tor Browser Bundle. [2014-05-21]. (原始内容存档于2014-06-23). 
  5. ^ Special Hostnames in Tor. [2012-06-30]. (原始内容存档于2015-03-17). 
  6. ^ Nathan Willis. Tor's .onion domain approved by IETF/IANA. LWN.net. 10 September 2015 [2017-04-16]. (原始内容存档于2017-06-20). 
  7. ^ Franceschi-Bicchierai, Lorenzo. Internet Regulators Just Legitimized The Dark Web. 2015-09-10 [2015-09-10]. (原始内容存档于2015-09-12). 
  8. ^ Special-Use Domain Names. [2015-09-10]. (原始内容存档于2015-09-10). 
  9. ^ Schuhmacher, Sophie. Blockchain.Info Launches Darknet Site In Response To Thefts Over TOR. 2014-12-05 [2015-09-20]. (原始内容存档于2015-09-04). 
  10. ^ 10.0 10.1 CA/Browser Forum Ballot 144 - Validation rules for .onion names. [2015-09-13]. (原始内容存档于2015-10-16). 
  11. ^ Baseline Requirements for the Issuance and Management Publicly-Trusted Certificates, v1.0 (PDF). [2015-09-13]. (原始内容存档 (PDF)于2016-01-14). 
  12. ^ _zekiel. We've updated our Tor hidden service to work over SSL. No solution for the cert. warning, yet!. Reddit. 2013-07-01 [2016-12-20]. (原始内容存档于2015-04-28). 
  13. ^ Muffett, Alec. Making Connections to Facebook more Secure. 2014-10-31 [2015-09-11]. (原始内容存档于2015-09-14). 
  14. ^ Alyson. Improved Security for Tor Users. 2014-12-03 [2015-09-11]. (原始内容存档于2015-08-25). 
  15. ^ Lee, Micah. Our SecureDrop System for Leaks Now Uses HTTPS. 2015-04-08 [2015-09-10]. (原始内容存档于2015-12-25). 
  16. ^ Arkko, Jari. .onion. 2015-12-10 [2015-09-13]. (原始内容存档于2015-09-15). 
  17. ^ Baseline Requirements Documents. [2015-09-13]. (原始内容存档于2014-10-20). 
  18. ^ Jamie Lewis, Sarah. OnionScan Report: July 2016 - HTTPS Somewhere Sometimes. 2016-08-07 [2016-08-15]. (原始内容存档于2016-08-15). 

外部链接 编辑