CA/B Forum уточнил правила выпуска SSL-сертификатов для доменов .onion


Не так давно CA/B Forum, регулятор индустрии SSL, принял новое положение: стало обязательным включение расширения Tor Service Descriptor Hash в TBSCertificate. Теперь удостоверяющий центр может выпускать EV сертификат для доменного имени .onion только при выполнении двух правил.

Не так давно CA/B Forum, регулятор индустрии SSL, принял новое положение: стало обязательным включение расширения Tor Service Descriptor Hash в TBSCertificate. Теперь удостоверяющий центр может выпускать EV сертификат для доменного имени .onion только при выполнении двух правил:

  • Удостоверяющий центр должен включить расширение CAB Forum в TBSCertificate для передачи хэшей ключей, связанных с адресами .onion.
  • Удостоверяющий центр должен включить расширение Tor Service Descriptor Hash в следующем формате:

cabf-TorServiceDescriptorHash OBJECT IDENTIFIER ::= { 2.23.140.1.31 }

TorServiceDescriptorHash:: = SEQUENCE {

algorithm AlgorithmIdentifier

subjectPublicKeyHash BIT STRING }

Здесь AlgorithmIdentifier – это алгоритм хэширования, определенный в RFC 6234. Этот алгоритм выполняется над необработанным публичным ключом в сервисе .onion.

SubjectPublicKeyHash – это значение хэш-вывода для необработанного публичного ключа.

Предложенные изменения дополняют правила расширенной проверки, принятые CA/B Forum. За данное изменение проголосовало 9 удостоверяющих центров при 4 воздержавшихся, а также 4 производителя браузеров.

О доменах .onion

Домены .onion применяются в Tor для сокрытия персональных данных, расположения и поведения в сети. Tor создан для защиты конфиденциальной информации онлайн. Глубокая сеть, закрытая для индексирования и поиска, примерно в 500 раз шире открытой сети. Очень часто .onion сайты используются для хранения баз данных, а также для деятельности государственных учреждений, учебных заведений и частных компаний.

Поскольку глубокая сеть в основном является изолированной, пользователям сложно понять, находятся ли они на правильном .onion сайте. Публичный SSL-сертификат позволяет упростить процесс идентификации для пользователей, поскольку они будут знать, что находятся на верном сайте.

Вы всегда можете заказать SSL-сертификаты для доменов .onion в нашем магазине.