Internet Task Force garandeert gebruik .onion-domeinnaam voor Tor-netwerk

De Internet Engineering Task Force heeft .onion aangewezen als special-use domain name. Onder andere is hiermee voorkomen dat .onion op termijn als generic top-level domain ingezet wordt. Ook opent het de weg naar het verstrekken van ssl-certificaten voor onion-sites.

De IETF heeft de draft voor de special-use domain name-registratie van .onion goedgekeurd. Daarmee is de domeinnaam opgenomen in IANA's lijst van domeinnamen voor speciaal gebruik. Ook .example, .localhost en .test staan bijvoorbeeld op deze lijst.

De stap betekent dat verzekerd is dat .onion gebruikt blijft worden voor het Tor-netwerk en niet op termijn als gtld in de root zone opgenomen wordt, waarna registrars domeinnamen eindigend op .onion zouden kunnen uitgeven. De Icann heeft het aantal gtld's in de afgelopen jaren enorm uitgebreid, met .amsterdam en .frl als Nederlandse voorbeelden. Daarnaast beschrijft de draft aanbevelingen voor ontwikkelaars van dns-software over hoe om te gaan met .onion-adressen.

Niet alleen het Tor Project wilde graag de status van special-use domain name voor .onion, maar ook Facebook. De sociale netwerksite is via het Tor-netwerk direct benaderbaar via https://www.facebookcorewwwi.onion/ en https://m.facebookcorewwwi.onion/. Facebook gebruikt hiervoor ssl-verbindingen maar vanaf eind dit jaar mogen geen ssl-certificaten meer voor internal server names verstrekt worden. Nu .onion de status van special-use domain name heeft gekregen, staat het Certificate-Authority & Browser Forum het waarschijnlijk toe om ssl-cerificaten aan de .onion-sites te verstrekken. Onder andere het open initiatief Let's Encrypt, dat gratis ssl-certificaten wil verstrekken, kan dit mogelijk gaan doen.

Overigens waren er eerder verzoeken om ook .exit, .i2p, .gnu en .zkey de speciale domeinnaamstatus te geven, maar hierover heeft het IETF nog niet beslist.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 10-09-2015 17:56 27

10-09-2015 • 17:56

27

Lees meer

Tor-kopstuk Jacob Appelbaum stapt op na klachten seksuele intimidatie
Tor-kopstuk Jacob Appelbaum stapt op na klachten seksuele intimidatie Nieuws van 5 juni 2016
Aantal mensen dat Facebook via Tor bereikt, groeit naar een miljoen
Aantal mensen dat Facebook via Tor bereikt, groeit naar een miljoen Nieuws van 22 april 2016
Google gaat standaard https-pagina's indexeren
Google gaat standaard https-pagina's indexeren Nieuws van 17 december 2015
Tor Project wil met donaties minder afhankelijk worden van overheidssubsidie
Tor Project wil met donaties minder afhankelijk worden van overheidssubsidie Nieuws van 25 november 2015
Meer producten en artikelen
Internet Tor

Reacties (27)

-Moderatie-faq
27
26
13
1
0
0
Wijzig sortering
sniek 10 september 2015 18:06
Ik heb me even in moeten lezen op wikipedia om dit compleet te begrijpen. Ik zie echter niet in waarom het voor het tor netwerk vervelend zou zijn als .onion adressen ook gewoon resolven zonder de specifieke software. Je kunt nog steeds ervoor kiezen je .onion adres alleen via de software / proxy vindbaar te maken lijkt me? Of zit ik er compleet naast en is dit wel een issue? |:(

bron: https://en.wikipedia.org/wiki/.onion
434365 @sniek10 september 2015 21:21
Het hele ding van Tor is dat het een apart stukje van het internet is, waar je alleen met een Tor browser in komt. .onion domeinen zijn bedacht om makkelijk te kunnen zien of iets ook echt via Tor loopt, even plat gezegd, op het normale internet check je bijvoorbeeld of dingen https zijn, op Tor check je of het .onion sites zijn, die zijn namelijk volledig afgeschermd.

Krijg je dan op een gegeven moment 'normale' .onion sites, is het meteen voor de 'simpele Tor gebruiker' niet meer duidelijk wat een 'veilige' site is en wat niet. Dus vandaar.
lonaowna @sniek10 september 2015 18:12
Je kan met het gewone DNS systeem geen Tor .onion domein resolven, omdat een DNS record altijd naar een IP-adres verwijst, en Tor hier geen gebruik van maakt.
280562 @lonaowna10 september 2015 19:56
een DNS record altijd naar een IP-adres verwijst
Dat is natuurlijk niet waar.

Het DNS werkt met meerdere soorten "Resource Records" (aka RR).
Het "A-record" is een mapping tussen een domainname en een (ipv4) adres.
Er zitten echter nog vele andere soorten RRs in het DNS.
Bv MX-records die aangeven waar je email naar toe moet sturen.
Of PTR records, die ip-adres naar domainname mappen (reverse A dus).
Of CNAME records, die een soort bijnaam of alternatieve naam aangeven.
.oisyn Moderator Devschuur® @28056210 september 2015 20:23
CNAME is geen alternatieve naam, maar een verwijzing naar een andere naam die vervolgens wordt gebruikt voor de lookup.
280562 @.oisyn10 september 2015 22:23
En dat is natuurlijk heel wat anders dan wat ik zei ??
bartbart333 @28056210 september 2015 23:18
Er is wel degelijk een verschil. Een CNAME record is niet alleen een alias voor een A record. Stel je zou een CNAME maken: test.example.com met als inhoud: test.com. In dit geval zal test.example.com een doorverwijzing zijn voor alle records op test.com. Als er dus bijvoorbeeld op test.com een MX record is zal een email naar test.example.com dus aankomen op de mailserver van test.com.

Om deze reden is het dus ook af te raden om een CNAME te maken voor je hoofddomein. Alle records van de CNAME worden namelijk gebruikt.
aadje93 @28056211 september 2015 09:50
ja, een andere naam zou een 2e A record zijn, een CNAME is meer een 301 in DNS termen ;)
280562 @aadje9311 september 2015 11:14
Een tweede A-record zou een tweede adres zijn.

Een IP-adres is *niet* een identifier. Het is een locator. Het geeft niet aan wie je bent, maar waar je bent. Een naam is een identifier. Een naam verwijst naar een entiteit. Niet naar de locatie van een entiteit.

Een CNAME-record is dus, zoals ik al zei, gewoon een andere naam. Een andere naam die verwijst naar dezelfde dingen als waar de eerste naam naar verwees.
HunterPro @sniek10 september 2015 18:09
Onwetende gebruikers kunnen hiermee gekaapt worden, zeker als er geen ssl-basis is om vertrouwen op te baseren. Ga de gemiddelde gebruiker maar uitleggen dat ondanks het juiste adres in de balk staat, hij /toch/ een ander systeem aan de lijn krijgt.
CAPSLOCK2000
@sniek10 september 2015 19:02
Ik zie echter niet in waarom het voor het tor netwerk vervelend zou zijn als .onion adressen ook gewoon resolven zonder de specifieke software.
Het gaat er om dat je makkelijk informatie gaat lekken.

Stel dat je normaal gesproken TOR gebruikt via een proxy, zoals de meeste gebruikers doen. Dat gaat allemaal goed tot je op zekere dag per ongeluk je proxy niet hebt ingeschakeld (of de verkeerde browser hebt, of in privacy mode zit, etc...). Dan gaat je browser proberen om die .onion link te behandelen als een gewone link.

Dat betekent dat er een verzoek naar je DNS-server gaat om het adres op te zoeken dat bij die link hoort. Oftewel, de beheerder van jouw DNS-server (en alle netwerkbeheerders daar tussen) kan zien welke URL's jij probeert te bezoeken. Als dat "https://mijn.terrorisme.onion" is dan heb je een probleem.
Gomez12 @CAPSLOCK200010 september 2015 23:11
[...]
Dat betekent dat er een verzoek naar je DNS-server gaat om het adres op te zoeken dat bij die link hoort. Oftewel, de beheerder van jouw DNS-server (en alle netwerkbeheerders daar tussen) kan zien welke URL's jij probeert te bezoeken. Als dat "https://mijn.terrorisme.onion" is dan heb je een probleem.
Ehm, dat probleem heb je en hou je ongeacht wat IETF zegt hoor...

DNS werkt gewoon van onder naar boven zolang hij niets vind, dus als jouw computer het niet kan resolven (wat niet zal kunnen zonder patch en daar zal niemand echt haast mee hebben) dan gaat het gewoon door naar je iSP en als die het niet kan resolven gaat het weer omhoog .

IETF zal het vast bij de root-servers laten doorvoeren, waardoor het vanzelf naar beneden druppelt naar de ISP's, maar de gemiddelde consument heeft geen DNS-server staan dus die gooit alles omhoog behalve als er een patch voor is geweest.

Of jij moet echt verwachten dat MS een acute 100% hotfix gaat doorvoeren voor een IETF besluit (en dan naast MS ook Apple en alle Linux vormen etc etc) of jouw scenario blijft de 1e paar jaren nog wel bestaan hoor.
ropstah @sniek10 september 2015 18:08
Lijkt mij dat dit gebeurt om eventuele verwarring of misbruik te voorkomen.
sniek @ropstah11 september 2015 17:18
En juist daarin lijkt mij dat er een handige fix is. Resolved het .onion domein, dan is het geen tor. Doet het dat niet, dan is het hoogstwaarschijnlijk TOR? Of zit ik er wederom naast? :)
Anoniem: 80487 10 september 2015 18:17
Wat is nou het nut van die gTLD's dan? Behalve dat er iemand vermoedelijk substantiële sommen geld aan verdient?
Zonder strenge standaarden voor TLD's zie ik slechts een wildgroei van rare domeinen en wellicht ook weer een mooi setje nieuwe invalshoeken voor phishing.
Freee!! @Anoniem: 8048710 september 2015 18:30
Wat is nou het nut van die gTLD's dan? Behalve dat er iemand vermoedelijk substantiële sommen geld aan verdient?
Dat is dan ook ongeveer het nut voor ICANN.
Zonder strenge standaarden voor TLD's zie ik slechts een wildgroei van rare domeinen en wellicht ook weer een mooi setje nieuwe invalshoeken voor phishing.
Die wildgroei is dan ook precies het probleem dat de meeste mensen ermee hebben. En toegenomen phishing is inderdaad ook een bron van zorg.
Anoniem: 80487 @Freee!!10 september 2015 18:38
Die wildgroei is dan ook precies het probleem dat de meeste mensen ermee hebben. En toegenomen phishing is inderdaad ook een bron van zorg.
Een vooralsnog "tamelijk waterdichte" manier om te checken of je te maken hebt met een legitieme link in bijvoorbeeld een mail is gewoon de bron te checken in de mail.
Meestal is dat bedrijf.com, .nl of een variant waarvan je weet dat hij bestaat.
Phishing die dan bijvoorbeeld linkt naar een pagina op ing.nl.niettevertrouwen.ru is dan heel doorzichtig als je niet compleet ligt te slapen.
Als straks het volledige web-adres, inclusief het TLD, arbitrair is weet je nooit meer in één oogopslag of de link in die mail iets is waar je zorgeloos op kan klikken, niet op de laatste plaats omdat je heel creatief kan worden met die krengen door op de juiste plek even ergens een puntje neer te zetten.
Ik vind dat toch wel tamelijk serieus bezwaarlijk, persoonlijk.
CAPSLOCK2000
@Anoniem: 8048710 september 2015 19:14
Als straks het volledige web-adres, inclusief het TLD, arbitrair is weet je nooit meer in één oogopslag of de link in die mail iets is waar je zorgeloos op kan klikken, niet op de laatste plaats omdat je heel creatief kan worden met die krengen door op de juiste plek even ergens een puntje neer te zetten.
Ik vind dat toch wel tamelijk serieus bezwaarlijk, persoonlijk.
Ik snap je punt wel maar eigenlijk is het natuurlijk al van de gekken dat je zo kritisch naar een URL moet kijken. De meeste mensen kunnen dat nu overigens ook al niet dus ik weet niet hoeveel we in praktijk verliezen. Daarbij denk ik dat de meeste grote bedrijven gewoon op hun bekende domeinen blijven zitten maar daar binnen is nu al zat ruimte voor misleidende namen. Dat de ING zit op ing.nl weet je nog wel, maar is het "bakkeropdehoek.com" of "bakkeropdehoek.nl" ?
blorf @CAPSLOCK200010 september 2015 19:48
Volgens mij zijn richtlijnen omtrent de opbouw van domeinnamen vanaf het beginsel onlogisch en staan alles eerder in de weg dat dat het op een of andere manier nuttig zou zijn.
We gebruiken woorden en een punt als scheidingsteken. Het idee daarvan was toch juist dat het alles kan zijn en we niet te maken hebben met een statische hoeveelheid mogelijkheden? Een .com, .biz of .onion voegt helemaal niks toe aan een domeinnaam. (www. ervoor trouwens ook niet) Alle bestaande toegestane TLD's worden voor allerlei verschillende zaken gebruikt. Dit blijven handhaven is compleet zinloos.
Van mij mogen ze die regels compleet afschaffen en alle willekeurige domeinnamen met onbeperkt aantal punten en dus ook alle TLD's toestaan. De noodzaak van dat wel of niet toestaan op zich is al twijfelachtig en sowieso technisch helemaal overbodig.
Gomez12 @CAPSLOCK200010 september 2015 23:15
Het probleem is niet dat de officiële bedrijven op de officiele urls blijven zitten, het probleem is juist de alternatieve urls.

Algemeen ing blijft op ing.nl, maar als ik nu een mail binnenkrijg van ing.amsterdam is dat dan fishing of toch een lokale afdeling? Hetzelfde met een ing.friesland
CAPSLOCK2000
@Anoniem: 8048710 september 2015 19:06
Wat is nou het nut van die gTLD's dan? Behalve dat er iemand vermoedelijk substantiële sommen geld aan verdient?
Zonder strenge standaarden voor TLD's zie ik slechts een wildgroei van rare domeinen en wellicht ook weer een mooi setje nieuwe invalshoeken voor phishing.
Het gaat allemaal om geld aan macht. Voor sommige landen is het bijvoorbeeld geen fijne gedachte dat Amerika de baas is over veel TLDs.

Het is ook wel fijn om dat niet alle macht bij een hand vol beheerders zit. Stel dat de hele wereld alleen maar .com zou gebruiken, als jij dan ruzie krijgt met die beheerder dan heb je een groot probleem. Door de macht over een hoop kleine partijen te verdelen houden die elkaar eerlijk. (In theorie althans, in praktijk wordt de bulk van de nieuwe TLDs gerund door de usual suspects).
Anoniem: 80487 @CAPSLOCK200010 september 2015 19:15
Op papier is dat heel tof, in de praktijk zie je inderdaad alleen maar bedrijven als Google met hun e-peen zwaaien door containerladingen TLD's te bemachtigen. Geld als drek immers.
Ik ben zoekende maar ik zie vooralsnog geen henk en ingrid die er één of meerdere gaan beheren. Kan ook niet want daarvoor moet je als simpleton met veel te veel geld op de proppen komen.
Greymane 10 september 2015 19:11
Ik vind Tor netwerken iets heel moois, door het hoge niveau van anonimiteit, maar tegelijkertijd ook weer behoorlijk gevaarlijk. Omdat ze zo slecht te controleren zijn, is hier (Nu al) een deel dat gebruikt word voor de dingen die naar mijn mening weer criminaliteit in de hand werken. Nu heb ik totaal geen probleem met drugshandel etc. Dat zijn keuzes die men uiteindelijk zelf naamt. Maar wapenhandel en kinderporno daarentegen gaan me weer een stuk te ver. Aan de andere kant is dan weer dat de overheid niet alles hoeft te weten.
CAPSLOCK2000
10 september 2015 19:20
Die speciale domeinen zijn best wel een probleem. Men heeft dat niet op tijd zien aan komen en er is nooit een goede procedure bedacht om hier mee om te gaan. De situtatie zit ook vol interne tegenstrijdigheden. TLD' als .onion mogen niet in DNS worden opgenomen. De enige manier om dat te doen is om ze wél in DNS op te nemen.

Er zijn ook een hoop andere domeinen die een vergelijkbare status willen. De mensen die er iets over te zeggen hebben zijn de DNS-beheerders. Dat zijn over het algemeen mensen die fan zijn van DNS en er dus niets voor voelen om een ander systeem naast DNS te hebben waar DNS dan ook nog eens rekening mee moet houden.

Dat er geen procedure is maakt het ook moeilijk. Mag iedereen zomaar z'n eigen prive TLD aanvragen en laten reserveren? Wat als iemand nu .com wil?
Het is geen onoplosbaar probleem maar op het ogenblijk spelen er een hoop belangen en emoties waardoor het moeilijk is om een procedure op te stellen waar de meerderheid het mee eens is.
SampleUser 11 september 2015 06:54
Uhh, Friesland heeft niet de TLD .friesland, maar .frl ;)
BamSlam_ 10 september 2015 18:23
Hopelijk maken ze een uitzondering voor the.onion ;-)
http://www.theonion.com/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq