Разрешен выпуск SSL-сертификатов для onion-адресов версии 3

CA/B Forum, официальный регулятор индустрии SSL-сертификатов, принял новое постановление SC27v3, в котором разъясняются правила выпуска сертификатов для onion-адресов версии 3.

Удостоверяющие центры теперь могут выпускать DV и OV сертификаты, содержащие onion-адреса для Tor с использованием нового формата имен версии 3.

В постановлении 144, которое позднее дополнялось с помощью постановлений 198/201, CA/B Forum задал правила выпуска EV-сертификатов для onion-адресов. Причиной такого решения стало то, что onion-адреса были криптографически слабыми, полагались на алгоритмы RSA-1024 и SHA-1. Недавно введенная «версия 3» устранила эти недостатки.

Расширение Tor Service Descriptor Hash, которое ранее было указано в правилах выпуска EV, теперь больше не требуется. Оно содержало полный хэш ключей, однако теперь он стал частью .onion-адреса в версии 3.

Адреса в версии 2 все еще используются, потому требования Tor Service Descriptor Hash для EV по-прежнему сохраняются для них.

Подытожим:

• Для onion-адресов версии 1 и 2 доступны только EV сертификаты;
• Для версии 3 — DV/OV/EV.