SSL certifikát pro .onion (TOR) doménu

[martin]

Mate nekdo zkusenost se ziskanim SSL certifikatu od nejake uznavane autority pro domenu .onion (TOR)? Ne pro jmeno, ale pouze pro domenu, jako to ma napriklad https://www.abclinuxu.cz/

[Reklama]

[Torsteles Onionus]

Pro .onion (jako v podstate pro jakoukoli domenu) lze si vygenerovat svuj certifikat, viz linuxexpres.cz a tamni serial o treba lighttpd servru, kde a jak jej vygenerovat atd.

Spis, imho, v .onion siti je dulezitejsi, jak chces "spravne" umistit a provzovat hidden services, kdyz to chces provozovat na svem PC...

[Sten]

Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.

Mimochodem neztratí potom .onion svůj význam, když v oficiálních certifikátech je vždy i jméno a adresa toho, kdo si jej nechal vystavit, takže rozhodně nebudete anonymní?

Použijte raději self-signed certifikát.

[martin]

Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.

Mohl bych umistit html soubor, ktery by mi autorita dala.

Mimochodem neztratí potom .onion svůj význam, když v oficiálních certifikátech je vždy i jméno a adresa toho, kdo si jej nechal vystavit, takže rozhodně nebudete anonymní?

Treba Thawte SSL123 (ma i https://www.abclinuxu.cz/ ) obsahuje pouze jmeno domeny.

[martin]

Pro .onion (jako v podstate pro jakoukoli domenu) lze si vygenerovat svuj certifikat, viz linuxexpres.cz a tamni serial o treba lighttpd servru, kde a jak jej vygenerovat atd.

Certifikat si vygenerovat umim, na tom neni nic sloziteho.

Spis, imho, v .onion siti je dulezitejsi, jak chces "spravne" umistit a provzovat hidden services, kdyz to chces provozovat na svem PC...

1)nechci nic provozovat - jen mne to zajima
2)jaky ma smysl veta: "jak chces spravne umistit a provzovathidden services, kdyz to chces provozovat na svem PC... " ?

[Reklama]

[Torservers Eff]

Jaky asi muze mit smysl?

Pokud bys chtel provozovat hidden services na (svem) PC a nebyli by to stranky zrovna - pomoc chudym africanum nebo cinskym disidentum atd. (neptam se co za stranky by to byly ), musel bys "umistit" servr, nejlip do takove virtualni site (a soucasne spravne nastaveny vsechny procesy systemu a/nebo konfigurace web-serveru, mysql, php apod.), aby servr nebyl odhalen a/nebo hacknut...
Tor je predevsim o anonymite, IMHO.

[Sten]

Mohl bych umistit html soubor, ktery by mi autorita dala.

Cože, jaký HTML soubor?

Treba Thawte SSL123 (ma i https://www.abclinuxu.cz/ ) obsahuje pouze jmeno domeny.

V případě domain-validated certifikátů je použita informace z WHOIS, které je veřejně přístupné.

[Torservers Eff]

Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.

Ono by to slo, potvrdit jen EFF (torproject.org), resp. temi, kdo provozujou Tor, jedine oni te muzou "certifikovat" 

[MilanK]

A nejde to řešit přes CNAME? Tj. nechat si nejprve vystavit certifikat na skrytasluzba.cz a pak dat do DNS "skrytasluzba.cz CNAME xxxx.onion"? Server se skytou sluzbou by byl nakonfigurovan take na jmeno skrytasluzba.cz. Uznávám, že i pokud by to fungovalo, není to moc pěkné řešení...

Pokud už používáte Tor a musíte tedy něco (minimálně Tor) instalovat na klientské počítače, doporučuji stejně self-signed certifikát. Je to bezpečnější (vzhledem k častým bezpečnostním problémům oficiálních CA).

[Jenda]

SSL IMHO netřeba, kryptografické zabezpečení (hash klíče?) je přímo v té šílené adrese.

[Torservers Eff]

+Jenda: asi nevis jak Tor funguje 
Kdyz packety opousteji Tor sit, jsou 'otevrena'...

[Sten]

+Jenda: asi nevis jak Tor funguje 
Kdyz packety opousteji Tor sit, jsou 'otevrena'...

Když pakety opouštějí síť Toru, tak tam už žádné .onion nejsou a používá se klasický systém certifikací.

[Tor Thor]

Pokud provozovatel hidden services nabizi SSL v prubehu celeho session s klientem, tak ani exit node 'nevidi' do obsahu packetu, nebo se snad mylim?
Proto je, IMO, nejlepsi, kdyz jste na ssl, ktere si muzete overit fingerprints ssl (pokud to provozovatel nabidne) signed...

[Anonymous]

Oni se hlavně při použití hidden services žádný exit nody nepoužívají. A řešit SSL je zbytečný, protože .onion adresa je hash veřejného klíče. Dúležitejší je zajistit, aby neprosákly citlivé informace, třeba skrz špatnou konfiguraci.

[Tor Thor]

+Anonymous: ale IMHO je potreba se na to divat z dvou uhlu: z pohledu klienta, kdy na enter/exit nodech jsou packety bez SSL 'otevrene', ne?
A z pohledu servru, kde bezi hidden services, kde je samozrejme dulezite dobre nastaveni/konfigurace, 'umisteni' a SSl je jen bonus navic .