.onion 连接不安全答案

【问题标题】：.onion connection is not secure.onion 连接不安全
【发布时间】：2018-11-19 05:28:53
【问题描述】：

我正在尝试设置一个 .onion 地址以指向我的 https 站点。每次我尝试从 .onion 地址访问它时，都会在 Tor 浏览器中收到警告：

您的连接不安全。 myonionaddress.onion 的所有者有不正确地配置了他们的网站。为了保护您的信息免受被盗，Tor 浏览器没有连接到这个网站。

。

其他 .onion 网站（facebook、duckduckgo 等）加载正常，没有警告...只是我的。我做错了什么？

我的配置：

HiddenServiceDir /home/user/onion_folder
HiddenServiceVersion 3
HiddenServicePort 443 187.485.887.28:443

运行版本 0.3.4.9

编辑：

我的网站有以下将 http 重定向到 https：

if ($scheme != "https") {
  return 301 https://$host$request_uri;
}

如何在允许来自 .onion 地址的 http 的同时将普通用户重定向到 https 版本？

编辑 2：

我也试过了：

if ($scheme != "https") {
  if ($host !~* "\.onion$") {
    return 301 https://$host$request_uri;
  }
}

编辑#3：

server {
  listen 80; server_name example.com www.example.com yourhiddenserviceaddress.onion;
  ...
}

【问题讨论】：

标签： nginx tor

【解决方案1】：

您将希望允许从您的隐藏服务到您的网站的“不安全”(http) 连接。

配置应如下所示：

HiddenServiceDir /home/user/onion_folder
HiddenServiceVersion 3
HiddenServicePort 80 187.485.887.28:80

您还需要确保网站不会尝试将访问者重定向到 https 或您的主域（而不是 .onion 地址）。

某些证书颁发机构^{（哪些？）} 可能会向.onion 主机颁发 SSL 证书，但不必启用安全连接。 Tor 隐藏服务连接是端到端加密的，因此您不需要 SSL 证书来保护连接，只需建立对隐藏服务实际由您的公司/站点运营的信任，并且不是假的。

引导说明：

至少有一个向 .onion 域颁发证书的 CA 是 DigiCert。

【讨论】：

我试过了，但没有运气。在将普通用户重定向到 https 版本时，如何“允许从您的隐藏服务到您的站点的“不安全”（http）连接”？我已经用我的 nginx.conf 更新了我的问题。
我没有用于测试的 nginx 设置，但在您的方案检查中立即出现了类似于 if ($host !~* "\.onion$") { 的内容。这会说“如果方案不是 https 并且主机 TLD 不是 .onion”，则重定向到 https，否则不要理会它。从同一主机运行隐藏服务和公共站点可能需要在应用程序本身和服务器配置中都像这样特别小心。您的应用程序必须知道引用洋葱地址而不是普通主机等。
这似乎不起作用。在 Tor 浏览器中出现“无法连接”错误。
见编辑#2。 $host 永远不会是 .onion，不是吗？ torrc 本质上是一个反向代理，对吧？
非常感谢，谢谢！你最终让它完全工作了吗？如果是这样，您介意分享相关的 nginx 配置吗？我只用 Apache 设置了它，想保存结果以备后用。