.onion



.onion — псевдодомен верхнего уровня, созданный для обеспечения доступа к анонимным или псевдоанонимным адресам сети Tor. Подобные адреса не являются полноценными записями DNS и информация о них не хранится в корневых серверах DNS, но при установке дополнительного программного обеспечения, необходимого для выхода в сеть Tor (например, Orbot для Android или плагин Torbutton для Firefox), программы, работающие с Интернетом, получают доступ к сайтам в доменной зоне .onion, посылая запрос через сеть Tor-серверов.

Формат

Адреса в onion TLD, как правило, представляют собой непрозрачные, не мнемонические, буквенно-цифровые строки, которые автоматически генерируются на основе открытого ключа при настройке onion-сервиса. Они имеют длину 16 символов для луковых служб V2 (версия 2) и 56 символов для луковых служб V3 (версия 3). Эти строки могут состоять из любой буквы алфавита и десятичных цифр от 2 до 7, представляя в base32 либо 80-битный хэш ("версия 2", или 16-символьный), либо 256-битный ed25519. Открытый ключ вместе с номером версии и контрольной суммой ключа и номера версии («версия 3», «следующее поколение» или 56 символов). В результате все комбинации из шестнадцати символов base32 потенциально могут быть действительными адресами версии 2 (хотя, как результат криптографического хэша, случайно выбранная строка этой формы, имеющая соответствующий луковый сервис, должна быть крайне маловероятной), в то время как только комбинации из 56 cимволов base32, которые правильно закодировали открытый ключ ed25519, контрольную сумму и номер версии (т. е. 3), являются действительными адресами версии 3. Можно настроить частично удобочитаемый URL-адрес .onion (например, начинающийся с названия организации), сгенерировав огромное количество пар ключей (вычислительный процесс, который можно сделать параллельным) до тех пор, пока не будет найден достаточно желательный URL-адрес.

Официальное обозначение

Домен ранее был псевдосуффиксом хоста домена верхнего уровня, схожим по своей концепции с такими окончаниями, как .bitnet и .uucp, использовавшимися в прежние времена.

9 сентября 2015 года ICANN, IANA и IETF определили .onion как «домен специального использования», придав домену официальный статус по предложению Джейкоба Аппельбаума из проекта Tor и инженера по безопасности Facebook Алека Маффета.

Поддержка HTTPS

До принятия CA/Browser Forum Ballot 144 сертификат HTTPS для имени .onion можно было получить, только рассматривая .onion как внутреннее имя сервера. В соответствии с базовыми требованиями CA/Browser Forum эти сертификаты могли быть выданы, но срок их действия должен был истечь до 1 ноября 2015 года.

Несмотря на эти ограничения, в июле 2013 года DuckDuckGo запустила onion-сайт с самозаверяющим сертификатом; Facebook получил первый сертификат SSL Onion, который был выпущен центром сертификации в октябре 2014 года, Blockchain.info в декабре 2014 года, и The Intercept в апреле 2015 года. The New York Times позже присоединилась в октябре 2017 года.