Certificates for Onion Services

Сертификаты для onion-сервисов

Onion-сервисы изначально не нуждаются в TLS-сертификатах, так как Tor уже обеспечивает шифрование и аутентификацию. Однако при доступе через HTTPS-прокси или при желании показать «зелёный замок» можно выпустить сертификат.

Возможные варианты

DV от публичного CA
- Let’s Encrypt, DigiCert и др. поддерживают домены .onion.
- Потребуется подтвердить владение onion-доменом через ACME (HTTP-01 или DNS-01).
Собственный CA
- Генерируем корневой сертификат и подписываем им конечные.
- Подходит для внутренних или тестовых сервисов; клиенты должны добавить корень в доверенные.
Self-signed
- Быстро, но вызывает предупреждение браузера.
- Использовать только для разработки.

Практика с Onionspray

Встроенный модуль onionspray-cert автоматизирует выпуск Let’s Encrypt.

Для собственного CA:

onionspray root-ca init
onionspray cert issue <onion-address>

Готовые сертификаты складываются в ./certs/.

Проверка

Публичный DV: открыть onion-сайт в Tor Browser — замок зелёный.
Свой CA: импортировать rootCA.pem в браузер/ОС.

Кратко

Для публичных проектов — Let’s Encrypt.
Для частных — собственный CA.
Self-signed только для тестов.

Комментарии (25)

Участники спорят, нужны ли onion-сайтам сертификаты CA, ведь адрес .onion уже криптографически привязан к публичному ключу.
Основной аргумент «за» — совместимость: браузеры и стандарты (HTTP/2, платежи) требуют TLS-сертификат, чтобы включить расширенные функции.
RFC 9799 описывает расширения ACME для выдачи таких сертификатов, включая возможность связывать обычные домены и .onion-адреса одним ключом.
Критики считают это «политическим» требованием: шифрование уже есть, но из-за «TLS повсюду» приходится накладывать лишний слой.
Практический вывод: для публичных сервисов сертификат нужен, чтобы «вписаться» в экосистему; для приватных каналов достаточно TOFU или ручной проверки.