• Demo
    保持交易與客戶資料隱密性

    GoDaddy

    Keep payments & customer data private
  • Demo
    創造線上信任者!

    COMODO

    Creating Trust Online
  • Demo
    您的成功來自於信任!

    digicert

    Your Success is Built on Trust
  • Demo
    保護數位認證與信息安全!

    Entrust

    Securing digital Identities & Information
  • Demo
    數位憑證的領導品牌!

    GeoTrust

    a leading certificate authority
  • Demo
    安全地溝通和交易!

    GlobalSign

    Communicate and transact securely.
  • Demo
    保護您的網站!保護您的客戶們!

    Network Solutions

    Secure Your Site!Protect Your Customers
  • Demo
    瑞士軍刀的數位認證和PKI

    StartCom

    The Swiss Army Knife of Digital Certificates & PKI
  • Demo
    最高等級的安全與身分認證

    SwissSign

    Extreme Security & Identity
  • Demo
    一個全新等級的保護和信任

    Symantec

    protect and trust to a whole new level
  • Demo
    最明顯的網站安全性標誌

    Thawte

    The most visible sign of web site security
  • Demo
    最簡單方案滿足您安全性與法規的遵從

    trustwave

    to your complex security and compliance challenges
  • Demo
    低成本,高保證的SSL證書

    instantssl

    low cost high assurance ssl certificates
  • Demo
    官網負擔得起的SSL證書及信任標章

    trustico

    Official Supplier Of Affordable Website SSL Certificates & Trust Seals
  • Demo
    簡單的網站安全性

    rapidssl

    simple site security for less
  • Demo
    由SSL.com來建立客戶信任

    ssl.com

    simple site security for less
  • Demo
    我們知道需要什麼是安全的

    certs4less

    We know what it takes to be secure
  • Demo
    從世界上唯一的高級SSL服務

    thesslstore

    SSL Certificates from the Only Premium SSL Service in the World
  • Demo
    專業,認證,信任

    certcenter

    expert. proven. trusted
  • Demo
    網頁安全解決方案

    secure128

    web security solutions
  • Demo
    保護您的業務,高度信任的SSL證書

    sslcertificate

    secure your business,high trust ssl cert
  • Demo
    保護您客戶的資料

    Namecheap

    Protect your site visitors' data
  • Demo
    我們把信任標識化

    IdenTrust

    We Put The Trust In Identity

onion(洋蔥網路)與SSL憑證之關係

前一陣子facebook拋出一個訊息,他們將進行一項實驗性質的服務,讓TOR的用戶可以很順利的連上並使用facebook的各項服務(.onion的網址),同時這些服務也是可以使用https進行連線,以確保Tor的瀏覽器不會發出SSL的警告訊息!為何facebook要提供此服務以及onion網域與SSL憑證的關係是甚麼?我們來了解一下!

要了解這個議題,我們必須先了解一下Tor(The Onion Router洋蔥網路)是甚麼?

我們翻開wiki對Tor的說明可以知道此網路當初是美國海軍研究實驗室,為了要傳送高機密性內部的簡報檔案,所發展出來的一個網路通訊方式, 用戶通過Tor可以在網際網路上進行匿名交流,目前是由EFF進行維護TOR的官方網站!

由於該網路資料經過層層加密,要解議資料需要就像剝洋蔥一樣,一層一層的方式把資料解密出來, 因此也被稱為洋蔥網路. 由於資料很難被破解,這樣的特性,特別適合不想被管控的人使用, 如一些有網路管制的國家或者從是高度機密工作的人(如情報員),

那到底這網路如何達到資料很難被破解的方式呢?我們簡單說明一下!

首先您要使用TOR的時候,需要安裝特別的代理伺服器(PROXY)),專屬TOR網路使用,跟你安裝IE,chrome是類似的,此PORXY只能連接TOR網路內的結點!也就是另一個TOR,由於中間透過的每一個路由器都會把資料用對稱式金鑰(symmetric key)進行加密,所以即使你從中攔截資料,也幾乎無法得知正確內容!資料會一直到出口端才會還原成明文,所以要破解資料,只能從出口端進行截取才有機會!

連結步驟如下:

1.首先您安裝的proxy程式,會取得網路上TOR的結點清單

2.從您到對方的路徑上,節點清單會隨機的建立相互之間的連線

3.最後把連線建立起來,如果要連另外一個節點,則會建立另外一條路,並且清除剛才的路徑!

 

例如:如果您跟朋友要在中國傳送給美國的朋友一些敏感資料,用此網路就不怕被封鎖囉!(當然要封鎖的方式很多,包含把IP封掉,把特定網域封定等等),但是如果你的終端電腦被安裝木馬程式,那就沒辦法了!

除了TOR的結點外,後來TOR提出的.onion的頂級域名網址給匿名伺服器使用,也就是說,TOR網路中也有很多"網站"提供一些服務(mail,線上圖書....),網址都是xxx.onion!

早期要用TOR網路,您的電腦需要裝一些東西然後設定一大堆才能使用,後來TOR Project推出TBB(Tor Browser Bundle)後,讓您安裝一個軟體,安裝後(專屬的瀏覽器套件)就可以順利連上TOR網路,此軟體會把您的IP隱藏,就可以進行匿名傳輸與瀏覽! 您如果有興趣可以上https://www.torproject.org/download/download下載軟體來試試看!

話說回來! 那既然TOR本身就能夠有資料保護的能力,幹嘛還要和SSL憑證扯上關係哩?

這就很有趣了! 加入SSL憑證主要有幾個好處

1.前面有提到,TOR出口端的資料攔截,有機會取得明文,TOR可以加密您在TOR網路中的數據,但是很多的大型網站,使用的TOR服務的主機與Web server的主機是不同台,那此兩者之間就沒有辦法讓TOR進行加密!SSL憑證就可以解決此問題!而facebook就是類似的情形,如下圖

SSL SECURITY可以補足TOR SECURITY的出口不足處!

2.因為TOR網路越來越多人使用,也有很多的網站在TOR網路中架設,就開始會發生類似詐騙網站的事情,使用SSL憑證的機制,最大的好處是,此網域是經過第三方的CA認證過的網域,跟一般我們internet一樣,有一個基本的認證網站機制加入!

facebook為了要解決讓使用TOR的用戶可以連上facebook(facebookcorewwwi.onion)使用該服務,讓TOR瀏覽器不會跳出SSL憑證的告警,所已開始了實驗的.onion網路服務,也加上SSL憑證! 這樣做的好處是, 除了可增加會員數外(幫助網路自由),如果成功,那其他社區網站就可以仿照,引起潮流(因為TOR網路應該會慢慢流行起來,尤其是在網路言論箝制的國家)

另外一提! 這張EV SSL憑證是由Digicert所發出喔!

然而!因為.onion網域,並不是ICANN認可的網址,沒有網址配發以及相關DNS的支援,所以在TOR網路中的網域,只能由私人提供類似DNS的服務,在TOR網路當中,很多的網域都已經被使用,這些頂級網域名稱會跟ICANN已發出的頂級網域名稱衝突, CABforum就針對此議題,在2015年2月18日進行SSL憑證是否要支援此網域(.onion)而投票(如下圖),

是通過可以支援.onion網域! CABforum還要求CA廠商要把之前發出不符合EV SSL要求的憑證,在2016年10月以前要全面廢止! 如下圖:

接下來應該會有更多的TOR內網域可以有正式的SSL憑證可用! 我們是樂見此發展,因為匿名網路是有其存在的必要性,而匿名網路的安全性也應該同樣受到重視! 雖然網路上有許多針對安全性的質疑,但是開始總是好是!至少可以檢視一下可行性!

------------------------------以下是安裝使用說明----------------

既然提到facebook的網站有提供.onion的網址,我們來安裝試試看是否如此? 1.請您先到torpoject的官方網站下載TBB,選擇適合的作業系統,我是win OS,選擇紅色框框內的DOWNLOAD下載,如下圖

2.下載完成後(.exe檔),點兩下執行他,會跳出警告訊息,因為沒有code sign!不管他!請按下執行!如下圖

3.選擇語系,我選中文,然後按下OK!如下圖

4.選擇安裝的資料夾,然後按下安裝如下圖

5.安裝中如下圖

6.安裝完成,點選完成如下圖

這時後跳出網路設定畫面,我們直接按下紅色框框中的Connect,如下圖,另一個configure則是進行網路設定,先不管他!

按下後會出現正連結TOR網路的視窗,這是後就等待連上網路,如下圖

連上之後就會跳出TOR瀏覽器的首頁囉,超簡單的吧!您可以開始使用TOR瀏覽器瀏覽TOR內的網站囉!或者用跟google一樣的搜尋方式找網站,如下圖

好!我們輸入一下facebook提供的網址https://facebookcorewwwi.onion/ , 就來到facebook的官方網站囉,點選一下憑證,發現是digicert發的,如下圖

如果您想要看看有哪些網址可用的話,有些網站有提供清單,如http://32rfckwuorlf4dlv.onion/ ,您可以查詢一下,如下圖

同樣的!如果您要看TOR瀏覽器以經植入的根憑證有哪些,可以點選如下圖,有植入的root根憑證廠商發出的憑證,https的時候就不會跳出告警!

可看到跟一般的IE或CHROME的名單不太相同! 如果您的憑證不是公開的CA發的,也是會跳出告警的喔!我們發現DIGICERT發的憑證還真多! tor雖然很隱密,但是因為是大家提供出來的資源使用,所以有時候連網站會很慢!

反正無論如何!您可以開始用TOR瀏覽器進行網路衝浪拉,但是還是要注意以HTTPS為主的網站比較安全!