Heute machte die Nachricht die Runde, dass Facebook nun auch per Tor-Hidden-Service zu erreichen sei. Und tatsächlich antwortet im Tor-Browser unter https://facebookcorewwwi.onion/ das «soziale» Netzwerk. Wieviel Sinn dies ergibt, lassen wir mal offen.
Viel spannender ist dann auch die Frage, wie Facebook zu einem offiziellen Zertifikat kommt, das auf einen Namen mit der Endung .onion lautet. Auch wenn der Zugriff auf Tor-Hidden-Services bereits Ende-zu-Ende verschlüsselt ist, macht es Sinn, die Verbindungen nochmals per TLS (und offiziellen Zertifikaten) zu sichern. Das Problem ist, dass .onion keine anerkannte Top-Level-Domain ist, und somit entsprechende Domains nicht so einfach einem Besitzer zugeordnet werden kann. Dies ist für die Ausstellung des Zertifikats jedoch essentiell.
Einen Blick in das Facebook-Zertifikat zeigt, dass es von der Firma DigiCert ausgestellt worden ist.
Löblicherweise stellt DigiCert keine eher unsicheren domain validated Zertifikate aus. Hier wird oft nur ein E-Mail mit einem Bestätigungs-Link an ein Postfach der betroffenen Domain gesendet, um den Besitz zu prüfen.
Eine Anfrage offenbart, dass die Verifizierung jedoch auch über eine abgesprochene Nachricht möglich ist, die temporär auf dem Webserver abgelegt wird:
We can get a Tor-enabled browser, and you may put up a temporary webpage that will have a message we coordinate with you.
Kein schlechter Service.
Anscheinend war es in der Vergangenheit auch möglich, für interne Domains und IP-Adressen Zertifikate zu erhalten. Ab heute ist dies nicht mehr möglich. Ob dies auch für .onion-Adressen gilt, ist noch nicht klar:
But because a tor network could resolve it, or the Tor Project and their browsers, in that sense it’s kind of public… it’s all still in an experimental phase, pending changes and updates.
[Update vom 1.11.2014: Roger Dingledine hat einen lesenswerten Artikel zu Facebook, hidden services, and https certs veröffentlicht, der sämtliche Aspekte umfasst und diese zu bewerten versucht.]