.onion es un nombre de dominio de nivel superior de uso especial que designa un servicio anónimo de Onion , que antes se conocía como "servicio oculto", [1] al que se podía acceder a través de la red Tor . Dichas direcciones no son nombres DNS reales y el TLD .onion no se encuentra en la raíz DNS de Internet , pero con el software proxy adecuado instalado, los programas de Internet como los navegadores web pueden acceder a sitios con direcciones .onion enviando la solicitud a través de la red Tor.
El propósito de usar un sistema de este tipo es hacer que tanto el proveedor de información como la persona que accede a la información sean más difíciles de rastrear, ya sea entre sí, por un host de red intermedio o por un tercero. Los sitios que ofrecen direcciones .onion dedicadas pueden proporcionar una capa adicional de garantía de identidad a través de certificados EV HTTPS . [ cita requerida ] La provisión de un sitio cebolla también ayuda a mitigar los ataques de eliminación de SSL por parte de nodos de salida maliciosos en la red Tor a usuarios que de otro modo accederían a sitios tradicionales de clearnet HTTPS a través de Tor. [ cita requerida ]
Las direcciones en el TLD cebolla son generalmente cadenas alfanuméricas opacas, no mnemotécnicas , que se generan automáticamente en función de una clave pública cuando se configura un servicio cebolla . Solían tener 16 caracteres de longitud para los servicios cebolla V2 y 56 caracteres de longitud para los servicios cebolla V3. [2] Estas cadenas pueden estar formadas por cualquier letra del alfabeto y dígitos decimales del 2 al 7, que representan en base32 un hash de 80 bits ("versión 2", o 16 caracteres) o una clave pública ed25519 de 256 bits junto con un número de versión y una suma de comprobación de la clave y el número de versión ("versión 3", "próxima generación" o 56 caracteres). Como resultado, en el pasado todas las combinaciones de dieciséis caracteres base32 podían ser potencialmente direcciones válidas de la versión 2 (aunque como resultado de un hash criptográfico, una cadena seleccionada aleatoriamente de esta forma que tenga un servicio de cebolla correspondiente debería ser extremadamente improbable ), mientras que en la versión 3 actual solo las combinaciones de 56 caracteres base32 que codificaron correctamente una clave pública ed25519, una suma de comprobación y un número de versión (es decir, 3) son direcciones válidas. [3] Es posible configurar una URL .onion parcialmente legible por humanos (por ejemplo, comenzando con el nombre de una organización) generando cantidades masivas de pares de claves (un proceso computacional que se puede paralelizar ) hasta que se encuentre una URL suficientemente deseable. [4] [5]
A partir de octubre de 2021, las versiones estables del software Tor ya no admiten direcciones V2 (16 caracteres). [6]
El nombre "onion" se refiere al enrutamiento de cebolla , la técnica utilizada por Tor para lograr un grado de anonimato .
Los servidores proxy en la red Tor, como Tor2web, permiten el acceso a servicios Onion desde navegadores que no son Tor y para motores de búsqueda que no son compatibles con Tor. Al utilizar una puerta de enlace, los usuarios renuncian a su propio anonimato y confían en que la puerta de enlace entregue el contenido correcto. Tanto la puerta de enlace como el servicio Onion pueden identificar el navegador y acceder a los datos de la dirección IP del usuario. Algunos servidores proxy utilizan técnicas de almacenamiento en caché que afirman proporcionar una mejor carga de páginas [7] que el navegador oficial Tor .
.exit era un pseudodominio de nivel superior utilizado por los usuarios de Tor para indicar sobre la marcha al software Tor el nodo de salida preferido que debería usarse al conectarse a un servicio como un servidor web , sin tener que editar el archivo de configuración de Tor ( torrc ).
La sintaxis utilizada con este dominio fue hostname + .exitnode + .exit , de modo que un usuario que quisiera conectarse a http://www.torproject.org/ a través del nodo tor26 tendría que ingresar la URL http://www.torproject.org.tor26.exit .
Algunos ejemplos de usos para esto incluirían acceder a un sitio disponible solo para direcciones de un determinado país o verificar si un determinado nodo está funcionando.
Los usuarios también pueden escribir exitnode.exit únicamente para acceder a la dirección IP de exitnode .
La notación .exit quedó obsoleta a partir de la versión 0.2.9.8. [8] Está deshabilitada de manera predeterminada a partir de la versión 0.2.2.1-alpha debido a posibles ataques a nivel de aplicación, [9] y con el lanzamiento de la serie 0.3 Tor como "estable" [10] ahora puede considerarse obsoleto.
El dominio era anteriormente un sufijo de host de dominio de nivel superior pseudo , similar en concepto a terminaciones como .bitnet y .uucp utilizadas en épocas anteriores.
El 9 de septiembre de 2015 , la ICANN , la IANA y la IETF designaron a .onion como un "dominio de uso especial", lo que le dio al dominio un estatus oficial tras una propuesta de Jacob Appelbaum del Proyecto Tor y el ingeniero de seguridad de Facebook Alec Muffett . [11] [12] [13]
Antes de la adopción de la votación 144 del CA/Browser Forum , un certificado HTTPS para un nombre .onion solo se podía adquirir tratando .onion como un nombre de servidor interno. [14] Según los requisitos básicos del CA/Browser Forum, estos certificados se podían emitir, pero debían vencer antes del 1 de noviembre de 2015. [15]
A pesar de estas restricciones, DuckDuckGo lanzó un sitio Onion con un certificado autofirmado en julio de 2013; [16] Facebook obtuvo el primer certificado Onion SSL emitido por una autoridad de certificación en octubre de 2014, [17] Blockchain.info en diciembre de 2014, [18] y The Intercept en abril de 2015. [19] The New York Times se unió más tarde en octubre de 2017. [20]
Tras la adopción de la votación 144 del CA/Browser Forum y la designación del dominio como "uso especial" en septiembre de 2015, .onion cumple con los criterios de la RFC 6761. [21] Las autoridades de certificación pueden emitir certificados SSL para sitios HTTPS .onion según el proceso documentado en los Requisitos básicos del CA/Browser Forum , [22] introducidos en la votación 144. [14]
A partir de agosto de 2016, 13 dominios Onion están firmados con https en 7 organizaciones diferentes a través de DigiCert . [23]
Navegación anónima a través de Tor, utilizada para acceder a sitios .onion