用戶:Vanished user 1231123/沙盒/TS3

.onion
推出日期2004
頂級域類型主機後綴
狀況並未收錄於域名根伺服器中,但被Tor客戶端、伺服器和代理廣泛使用
域名註冊局Tor
預期使用通過Tor去指定並訪問隱藏的服務
實際使用使Tor用戶使用提供商和用戶均為匿名的服務,且使得其難以被追蹤
註冊限制當一個隱藏服務被設置好之後,域名就自動被Tor客戶端所「註冊」
結構公鑰自動生成難以理解的字符串作為域名
相關文件
爭議政策
註冊局網站www.torproject.org

.onion是一個用於在Tor網絡上尋址特殊用途的頂級域後綴。這種後綴不屬於實際的域名,也並未收錄於域名根區中。但只要安裝了正確的代理軟件,如類似於瀏覽器的網絡軟件,即可通過Tor伺服器發送特定的請求來訪問.onion地址。使用這種技術可以使得信息提供商與用戶難以被中間經過的網絡主機或外界用戶所追蹤。

格式

編輯

.onion頂級域的地址為Tor服務配置完成後,由公鑰自動生成的難以記憶且不便理解的十六位半字母半數字hash。這種十六位的hash由字母表內任意字母與2至7的十進制數字所組成,以此來表示使用base32加密後的80位數字。通過並行計算生成大量的密鑰對的方式來尋找合適的URL並設立起人類可讀的.onion地址是可行的(例如以組織名開頭)[2][3]

此名稱中的「onion」代指為達到匿名目的的洋蔥路由技術。

萬維網至.onion網關

編輯

諸如Tor2web等的代理服務允許不使用Tor技術的瀏覽器與搜尋引擎訪問Tor網絡上的隱藏服務。若使用這種網關,用戶就放棄了自己的匿名身份並只得相信網關傳送的內容是正確的。網關和隱藏服務均可識別出瀏覽器並得知用戶IP位址數據。部分代理使用緩存技術[4]來提供比Tor瀏覽器更快的訪問速度。[5]

.exit是一個被Tor用戶所使用的偽頂級域(英文:pseudo-top-level domain),用於指示Tor在連接到諸如網頁伺服器的服務時應該使用的首選出口節點(英文:exit node),而無需編輯配置文件 Tor(torrc)。

使用這種偽頂級域的語法是:主機名 + .出口節點 + .exit。如果用戶想使用節點tor26訪問 http://www.torproject.org/ 的話,輸入 http://www.torproject.org.tor26.exit 即可。

這方面的示例包括訪問僅適用於特定國家/地區的站點,或檢查某個節點是否正常工作。

用戶也可直接輸入出口節點.exit以訪問出口節點的IP位址。

.exit功能由於潛在的應用層的攻擊風險而在版本0.2.2.1-alpha中被默認關閉。[6]

官方指定

編輯

.onion域名曾為偽頂級域主機後綴,在概念上與.bitnet以及.uucp的早期使用大致相同。

在2015年9月9日,根據Tor項目的雅各布·阿佩爾鮑姆(英文:Jacob Appelbaum)和Facebook安全工程師Alec Muffett的建議,ICANN互聯網號碼分配局以及互聯網工程任務組將.onion指定為「特殊用途域名」, 將其歸於官方地位。[7][8][9]

對HTTPS的支持

編輯

來源於Tor網絡上惡意出口節點的SSL剝離(英文:SSL Stripping)攻擊足以威脅到訪問明網上傳統的HTTPS站點。儘管加密本身在技術上是冗餘的,但.onion地址的網站可以通過證書提供身份保證的附加層賦予Tor原生加密功能。[10]提供HTTPS證書還需啟用瀏覽器功能,否則這些功能將無法用於.onion站點的用戶。

在採用CA/瀏覽器論壇第144號投票(英文:CA/Browser Forum Ballot 144)之前,只能通過將.onion視為內部伺服器名稱來獲取.onion名稱的HTTPS證書。[11]根據CA/瀏覽器論壇的基準要求,這些證書可能會發佈,但必須在2015年11月1日之前到期[12]。儘管有這些限制,四個組織(包括於2013年7月簽署的DuckDuckGo[13],2014年10月簽署的Facebook|[14] ,2014年12月簽署的Blockchain.info[15]以及2015年4月簽署的The Intercept[16])仍然簽署了認證機構合作夥伴關係。

在2015年9月通過CA/瀏覽器論壇第144號投票和採用.onion為「特殊用途域名」之後,.onion域名通過了RFC 6761的標準[17]。證書頒發機構可以根據CA/瀏覽器論壇引入於第144號投票[11]里的基準要求[18]中記錄的過程來發佈.onion站點的SSL證書。

截至2016年8月,DigiCert已簽署了7個不同組織的13個.onion域名[19]

另請參閱

編輯

參考文獻

編輯
  1. ^ J. Appelbaum, A. Muffett. 特殊用途域名—.onion. 2015年10月. RFC 7686. 
  2. ^ Scallion. GitHub. [2014-11-02]. 
  3. ^ Muffett, Alec. Re: Facebook brute forcing hidden services. tor-talk (郵件列表) (Simple End-User Linux). 2014-10-31 [2014-11-02]. 
  4. ^ Onion.cab: Advantages of this TOR2WEB-Proxy. [2014-05-21]. 
  5. ^ Tor Browser Bundle. [2014-05-21]. 
  6. ^ Special Hostnames in Tor. [2012-06-30]. 
  7. ^ Nathan Willis. Tor's .onion domain approved by IETF/IANA. LWN.net. 10 September 2015. 
  8. ^ Franceschi-Bicchierai, Lorenzo. Internet Regulators Just Legitimized The Dark Web. 10 September 2015 [10 September 2015]. 
  9. ^ Special-Use Domain Names. [10 September 2015]. 
  10. ^ Schuhmacher, Sophie. Blockchain.Info Launches Darknet Site In Response To Thefts Over TOR. 5 December 2014 [20 September 2015]. 
  11. ^ 11.0 11.1 CA/Browser Forum Ballot 144 - Validation rules for .onion names. [13 September 2015]. 
  12. ^ Baseline Requirements for the Issuance and Management Publicly-Trusted Certificates, v1.0 (PDF). [13 September 2015]. 
  13. ^ _zekiel. We've updated our Tor hidden service to work over SSL. No solution for the cert. warning, yet!. Reddit. 1 July 2013 [20 December 2016]. 
  14. ^ Muffett, Alec. Making Connections to Facebook more Secure. 31 October 2014 [11 September 2015]. 
  15. ^ Alyson. Improved Security for Tor Users. 3 December 2014 [11 September 2015]. 
  16. ^ Lee, Micah. Our SecureDrop System for Leaks Now Uses HTTPS. 8 April 2015 [10 September 2015]. 
  17. ^ Arkko, Jari. .onion. 2015-12-10 [13 September 2015]. 
  18. ^ Baseline Requirements Documents. [13 September 2015]. 
  19. ^ Jamie Lewis, Sarah. OnionScan Report: July 2016 - HTTPS Somewhere Sometimes. 2016-08-07 [15 August 2016]. 

外部連結

編輯