Seltsame ONION-Warnung bei TOR

nathgate · 11. Juni 2023 um 13:35

Die Website immerda.ch verwendet seit Ende 2020 die neuen Onion-Adressen (Onionv3). Die Adresse ist unter folgendem Link zu finden:
https://www.w5ejy7xyv4dw7jul7bycfnltircxddt7vqprcxe6uggnezlwwic72qqd.onion/

Allerdings bringt die Seit seit etwa einer Woche diese Meldung:

Warning: Potential Security Risk Ahead

Tor Browser detected a potential security threat and did not continue to www.w5ejy7xyv4dw7jul7bycfnltircxddt7vqprcxe6uggnezlwwic72qqd.onion. If you visit this site, attackers could try to steal information like your passwords, emails, or credit card details.

What can you do about it?

The issue is most likely with the website, and there is nothing you can do to resolve it. You can notify the website’s administrator about the problem.

Websites prove their identity via certificates. Tor Browser does not trust this site because it uses a certificate that is not valid for www.w5ejy7xyv4dw7jul7bycfnltircxddt7vqprcxe6uggnezlwwic72qqd.onion.
 
Error code: SSL_ERROR_BAD_CERT_DOMAIN

Die Frage ist, welche Möglichkeiten der Betreiber der Seite hat, damit die Nutzerinnen und Nutzer diese Fehlermeldung nicht mehr angezeigt bekommen? Sind in diesem Fall die Zertifikate veraltet oder abgelaufen? (SSL_ERROR_BAD_CERT_DOMAIN)

Grüsse,
nathgate

Bit · 11. Juni 2023 um 13:51

Vermutlich muss er das Zertifikat aktualisieren.

duda · 11. Juni 2023 um 14:06

Weder, noch.

Tor Browser vertraut dieser Website nicht, weil das von der Website verwendete Zertifikat nicht für www.w5ejy7xyv4dw7jul7bycfnltircxddt7vqprcxe6uggnezlwwic72qqd.onion gilt.

nathgate · 11. Juni 2023 um 15:22

Danke euch.
das heisst, dass ich das Zertifikat für diese Webseite in meinem TOR-Browser aktualisieren muss?

duda · 11. Juni 2023 um 16:25

Nein!
Das Zertifikat passt nicht zur Webseite, oder umgekehrt, die Webseite passt nicht zum Zertifikat.
Hier ist der/die Webseitenbetreiber/in gefragt. Im schlimmsten Fall kann das einen betrügerischen Hintergrund haben, von dem der/die Webseitenbetreiber/in nicht unbedingt Kenntnis haben muss.

Cornelius · 11. Juni 2023 um 18:00

Weder noch.
Das Zertifikat passt nicht zum Hostnamen des Dienstes.

Der Betreiber hat ein selbst signiertes Zertifikat für die Domain erstellt. Die angebotenen Dienste laufen aber unter einem einem Hostnamen. Daher die Fehlermeldung.
siehe dazu: Anleitung auf der Webseite zu Tor

Er könnte eine eigene CA erstellen und dann für die Dienste, jeweils ein eigenes Zertifikat erstellen. Die Nutzer müssten dann das CA-Zertifikat importieren.

Notwendig ist eine TLS-Verschlüsselung hier nicht, da die Verbindung zu einem Hidden Service bereits verschlüsselt ist. Ohne gäbe es dann auch keine Fehlermeldung.

nathgate · 11. Juni 2023 um 22:02

Danke euch für die Antworten

Ist es ein Nachteil bei der Sicherheit, dass der Betreiber ein selbst signiertes Zertifikat für die Domain erstellt hat? Bisher habe ich diese Fehlermeldung auf keinen anderen Onion-Diensten gesehen und ich frage mich, warum der Betreiber diesen Weg der selbst signierten Zertifikate gewählt hat? Dies erweckt doch ein ungutes Gefühl bei den Seitenbesuchern?

Cornelius · 11. Juni 2023 um 22:13

Weil es für .onion URLs keine kostenlosen Zertifikate gibt.
Die kosten normalerweise richtig viel Geld.

nathgate · 11. Juni 2023 um 22:17

Das ist eine Erklärung

Ich werde Kontakt zum Betreiber aufnehmen und nachfragen

bartoletti · 12. Juni 2023 um 11:34

Finde es unangebracht, in Bezug auf die Datensicherheit der Nutzer/in zu sparen.

Cornelius · 12. Juni 2023 um 12:25

Es geht hier im Thread nicht um Sicherheit. Die ist bereits durch Tor gegeben.
Das ganze nur eine Frage der Bequemlichkeit.

bartoletti · 13. Juni 2023 um 12:21

Es mag sein, dass die Grundsicherheit durch Tor gegeben ist. Durch die wässrige Verschlüsselung wird die Sicherheit aber zumindest getrübt.

Cornelius · 13. Juni 2023 um 18:17

Ist sie.

Es spielt für die Sicherheit der Verschlüsselung keine Rolle, ob ein selbstsigniertes Zertifikat, oder eines von einer anerkannten CA verwendet wird.

bartoletti · 16. Juni 2023 um 12:15

Ist bereits eine Antwort eingetroffen?

nathgate · 17. Juni 2023 um 21:50

Bisher leider nicht

bartoletti · 31. Oktober 2023 um 18:17

Die antwort dauert aber lange
Hat er sich vergraben?

nathgate · 31. Oktober 2023 um 18:21

Sorry. Hier die Antwort vom Betreiber der Webseite:

Ja es stimmt wir verwenden ein self-signed Zertifikat für unsere .onion
Adresse. Dies liegt an folgenden zwei Punkten:

Der Verkehr zwischen einem Tor-Client und einer .onion Adresse ist
durch das Tor-Protokoll bereits verschlüsselt. Tls ist eine weitere
Transportverschlüsselung. Wir verwenden das Zertifikat nur, um
User*innen nicht zu verwirren.

Es gibt fast keine „legitime“ tls Zertifikate für .onion Adressen.
Lets encrypt bietet keine Zertifikate an, genauso wie die meisten grosse
CA. Einzig https://www.harica.gr hat Zertifikate im Angebot.

Könnt ihr die Antwort nachvollziehen? Inbesondere die zweite Antwort, dass es keine legitime tls Zertifikate gibt, irritiert mich.

Cornelius · 31. Oktober 2023 um 19:45

Ja.

Das steht da nicht.

Ist so zu verstehen, das die meisten CAs, deren Zertifikate von den Browsern als sicher akzeptiert werden, entweder keine Zertifikate für .onion ausstellen, oder das sehr teuer ist.
harica sind die ersten, die für .onion günstige Domain-Validierte Zertifikate ausstellen.

nathgate · 31. Juli 2024 um 20:14

Mir ist die Frage gekommen wie ich überprüfen kann, dass die folgende Domain für onion tatsächlich von immerda.ch stammt?

https://www.w5ejy7xyv4dw7jul7bycfnltircxddt7vqprcxe6uggnezlwwic72qqd.onion/

Wie kann ich das verifizieren? Zumal nach wie vor die Warnung kommt.

Cornelius · 1. August 2024 um 00:06

Du fragst den Betreiber nach dem Fingerprint zu seinem Zertifikat.