Uma web mais segura é possível e, agora, pode ser acessada num clique. Está disponível a partir da versão 9.5 do Navegador Tor para desktop uma nova funcionalidade chamada Onion-Location.
Essa nova funcionalidade permite que desenvolvedores informem e redirecionem os seus usuários para a versão em serviço onion do site. Se você estiver navegando neste blog com o Navegador Tor, deve ter notado agora que há uma nova barra de informação chamada ".onion available" na sua barra de navegação. Para acessar o site onion, basta clicar nessa barra.
Utilizar serviços onion significa que a sua conexão está trafegando anonimamente pela rede Tor e de forma criptografada (ponta a ponta) entre o seu computador e o serviço visitado, no caso, um site. Você pode ler a explicação geral sobre serviços onion no portal da Comunidade do Tor Project.
Para os administradores de sites habilitarem o Onion-Location é necessário que o seu domínio já possua um certificado TLS, o qual pode ser obtido gratuitamente através do projeto Let's Encrypt. As instruções de como habilitar o Onion-Location podem ser encontradas na seção Onion Services do portal da Comunidade. Se você já tem o certificado TLS e um serviço onion configurado, a implementação é simples: uma linha no arquivo de configuração do seu servidor web favorito ou no próprio HTML do seu site.
Mais sobre serviços onion
Os serviços onion são descentralizados: não há uma autoridade central para emitir e habilitar os serviços onion. Diferente dos outros domínios na internet, não é possível comprar ou registrar um domínio .onion, mas é possível você mesmo gerar um domínio .onion. Esse domínio .onion tem um tamanho específico (16 ou 56 caracteres) e é composto de números e letras, gerados a partir de um processo criptográfico que garante que só o operator daquele serviço terá aquele domínio único. Seguros e descentralizados, porém os domínios .onion não são facilmente memorizáveis. Sobre esse dilema, leia sobre o triângulo de Zooko.
Mas então, como informar e compartilhar o seu domínio .onion para os seus usuários?
Com o Onion-Location essa tarefa fica mais fácil, a um clique na barra de endereços, mas também há algumas outras formas. Alguns operadores de serviços onions adotaram os chamados "domínios de vaidade", ou seja, domínios que tem uma parte memorizável. Eles são resultados de programas (scripts) que geram muitos domínios .onion até encontrar um que tenha uma (pequena) parte memorizável. Por exemplo, o serviço onion do Facebook - facebookcorewwwi.onion. Porém, da mesma forma, um atacante pode tentar gerar uma pequena parte de um domínio para se passar pelo seu site, e com isso tentar fazer um ataque de engenharia social, confundindo os usuários de seu site ao tentar se passar por ele. A questão de domínio .onion memorizável, seguro e descentralizado ainda não tem resposta, mas há opções a serem exploradas, por exemplo, as tecnologias de blockchain.
Ainda no release 9.5, há uma prova de conceito utilizando as regras do plugin HTTPS Everywhere para gerar domínios .onion para a plataforma do SecureDrop. Desta forma, é possível visitar o serviço onion de uma instância do SecureDrop digitando um domínio memorizável, por exemplo, http://theintercept.securedrop.tor.onion ao invés dos 56 caracteres.