SSL/TLS сертификаты для адресов .onion

Tor обеспечивает транспортный уровень шифрования между клиентом и точкой встречи, но HTTPS добавляет шифрование на уровне приложения, которое защищает от нескольких дополнительных моделей угроз. SSL сертификат для вашего адреса .onion доказывает посетителям, что они подключились к аутентичному сайту, а не фишинговому клону с похожим адресом.

HTTPS также включает HTTP/2, который значительно улучшает производительность загрузки страниц при высокой задержке соединений Tor. Браузеры отображают знакомый значок замка, повышая доверие пользователей. Кроме того, некоторые веб-приложения и API требуют HTTPS для функций, таких как service workers, безопасные файлы cookies и WebSocket подключения.

Harica (Hellenic Academic and Research Institutions CA) в настоящее время является наиболее доступным центром сертификации, выдающим сертификаты .onion. Процесс включает доказательство владения вашим адресом .onion путём обслуживания токена проверки через ваш скрытый сервис:

# 1. Создайте учётную запись на harica.gr и запросите сертификат DV
# 2. Выберите "Server Certificate" и введите ваш адрес .onion
# 3. Harica предоставляет файл токена проверки

# 4. Обслуживайте токен от вашего скрытого сервиса:
mkdir -p /var/www/onion/.well-known/pki-validation/
echo "harica-token-value-here" > \
  /var/www/onion/.well-known/pki-validation/fileauth.txt

# 5. Harica проверяет, подключаясь к вашему .onion через Tor
# 6. Сертификат выдан — загрузите полную цепь

Процесс проверки требует, чтобы Harica подключился к вашему адресу .onion через сеть Tor и проверил, что файл токена обслуживается правильно. Это обычно занимает от нескольких минут до нескольких часов. После проверки вы получаете сертификат и цепь промежуточного ЦС.

После получения файлов сертификата настройте Nginx для обслуживания HTTPS на вашем адресе .onion. Вам потребуется обновить torrc для также переадресации порта 443:

# /etc/tor/torrc
HiddenServiceDir /var/lib/tor/my_hidden_service/
HiddenServicePort 80 127.0.0.1:8080
HiddenServicePort 443 127.0.0.1:8443
HiddenServiceVersion 3

# /etc/nginx/sites-available/onion-ssl
server {
    listen 127.0.0.1:8080;
    server_name your56char.onion;
    return 301 https://$host$request_uri;
}

server {
    listen 127.0.0.1:8443 ssl http2;
    server_name your56char.onion;

    ssl_certificate /etc/ssl/onion/fullchain.pem;
    ssl_certificate_key /etc/ssl/onion/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    root /var/www/onion;
    index index.html;

    access_log off;
    error_log /dev/null;
}

Сертификаты Harica обычно действительны в течение одного года. Установите напоминание в календаре для возобновления до истечения, так как автоматизированное возобновление через ACME ещё не получило широкое распространение для доменов .onion.