.onion es un nombre de dominio de nivel superior de uso especial que designa un servicio cebolla anónimo , que anteriormente se conocía como "servicio oculto", [1] accesible a través de la red Tor . Dichas direcciones no son nombres DNS reales y el TLD .onion no está en la raíz DNS de Internet , pero con el software proxy apropiado instalado, los programas de Internet, como los navegadores web , pueden acceder a sitios con direcciones .onion enviando la solicitud a través de la red Tor. .
El propósito de utilizar un sistema de este tipo es hacer que sea más difícil rastrear tanto al proveedor de información como a la persona que accede a la información, ya sea entre sí, por un servidor de red intermedio o por un tercero. Los sitios que ofrecen direcciones .onion dedicadas pueden proporcionar una capa adicional de garantía de identidad a través de certificados EV HTTPS . [ cita necesaria ] La provisión de un sitio cebolla también ayuda a mitigar los ataques de eliminación de SSL por parte de nodos de salida maliciosos en la red Tor sobre usuarios que de otro modo accederían a sitios tradicionales HTTPS clearnet a través de Tor. [ cita necesaria ]
Las direcciones en el TLD de cebolla son generalmente cadenas alfanuméricas opacas, no mnemotécnicas , que se generan automáticamente en función de una clave pública cuando se configura un servicio de cebolla . Solían tener 16 caracteres para los servicios cebolla V2 y 56 caracteres para los servicios cebolla V3. [2] Estas cadenas pueden estar compuestas por cualquier letra del alfabeto y dígitos decimales del 2 al 7, lo que representa en base32 un hash de 80 bits ("versión 2", o 16 caracteres) o un ed25519 de 256 bits. clave pública junto con un número de versión y una suma de verificación de la clave y el número de versión ("versión 3", "próxima generación" o 56 caracteres). Como resultado, en el pasado todas las combinaciones de dieciséis caracteres base32 podrían ser potencialmente direcciones válidas de la versión 2 (aunque como resultado de un hash criptográfico, una cadena seleccionada al azar de esta forma con un servicio cebolla correspondiente debería ser extremadamente improbable ), mientras que en En la versión actual 3, solo las combinaciones de 56 caracteres base32 que codificaron correctamente una clave pública ed25519, una suma de verificación y un número de versión (es decir, 3) son direcciones válidas. [3] Es posible configurar una URL .onion parcialmente legible por humanos (por ejemplo, comenzando con el nombre de una organización) generando cantidades masivas de pares de claves (un proceso computacional que puede paralelizarse ) hasta que se encuentre una URL suficientemente deseable. [4] [5]
El nombre "cebolla" hace referencia al enrutamiento cebolla , la técnica utilizada por Tor para lograr cierto grado de anonimato .
Los servidores proxy de la red Tor como Tor2web permiten el acceso a servicios cebolla desde navegadores que no son Tor y para motores de búsqueda que no son compatibles con Tor. Al utilizar una puerta de enlace, los usuarios renuncian a su propio anonimato y confían en que la puerta de enlace entregará el contenido correcto. Tanto la puerta de enlace como el servicio cebolla pueden tomar huellas digitales del navegador y acceder a los datos de la dirección IP del usuario. Algunos servidores proxy utilizan técnicas de almacenamiento en caché que afirman proporcionar una mejor carga de páginas [6] que el navegador Tor oficial .
.exit era un dominio de pseudo nivel superior utilizado por los usuarios de Tor para indicar sobre la marcha al software Tor el nodo de salida preferido que debería usarse al conectarse a un servicio como un servidor web , sin tener que editar el archivo de configuración para Tor ( torrc ).
La sintaxis utilizada con este dominio fue nombre de host + .exitnode + .exit , de modo que un usuario que quisiera conectarse a http://www.torproject.org/ a través del nodo tor26 tendría que ingresar la URL http://www.torproject. org.tor26.salida .
Los usos de ejemplo para esto incluirían acceder a un sitio disponible solo para direcciones de un determinado país o comprobar si un determinado nodo está funcionando.
Los usuarios también pueden escribir exitnode.exit solo para acceder a la dirección IP de exitnode .
La notación .exit quedó obsoleta a partir de la versión 0.2.9.8. [7] Está deshabilitado de forma predeterminada a partir de la versión 0.2.2.1-alfa debido a posibles ataques a nivel de aplicación, [8] y con el lanzamiento de Tor de la serie 0.3 como "estable" [9] ahora puede considerarse inactivo.
Anteriormente, el dominio era un sufijo de host de dominio de pseudo nivel superior , similar en concepto a terminaciones como .bitnet y .uucp utilizadas en épocas anteriores.
El 9 de septiembre de 2015, la ICANN , la IANA y el IETF designaron .onion como "dominio de uso especial", dándole al dominio un estatus oficial tras una propuesta de Jacob Appelbaum del Proyecto Tor y el ingeniero de seguridad de Facebook , Alec Muffett . [10] [11] [12]
Antes de la adopción de CA/Browser Forum Ballot 144, un certificado HTTPS para un nombre .onion solo podía adquirirse tratando .onion como un nombre de servidor interno. [13] Según los requisitos básicos de CA/Browser Forum, estos certificados podían emitirse, pero debían caducar antes del 1 de noviembre de 2015. [14]
A pesar de estas restricciones, DuckDuckGo lanzó un sitio cebolla con un certificado autofirmado en julio de 2013; [15] Facebook obtuvo el primer certificado SSL Onion emitido por una autoridad certificadora en octubre de 2014, [16] Blockchain.info en diciembre de 2014, [17] y The Intercept en abril de 2015. [18] The New York Times se unió más tarde. en octubre de 2017. [19]
Tras la adopción de CA/Browser Forum Ballot 144 y la designación del dominio como 'uso especial' en septiembre de 2015, .onion cumple con los criterios de RFC 6761. [20] Las autoridades certificadoras pueden emitir certificados SSL para sitios HTTPS .onion según la proceso documentado en los Requisitos básicos del CA/Browser Forum , [21] introducido en la boleta electoral 144. [13]
En agosto de 2016, 13 dominios cebolla están firmados https en 7 organizaciones diferentes a través de DigiCert . [22]
Navegación anónima a través de Tor, utilizada para acceder a sitios .onion