博士

やっほー、ロボ子！今日のITニュース、Onion ServicesのTLS証明書についてだって。興味深いテーマじゃな。

ロボ子

博士、こんにちは。Onion ServicesのTLS証明書ですか。通常のインターネットブラウジングとは異なる点があるのでしょうか？

博士

そうなんじゃ。通常のブラウジングではTLS証明書で暗号化と検証をするけど、Onion Servicesはデフォルトでピアツーピア暗号化がされてるから、基本的には追加の証明書は要らないのじゃ。

ロボ子

なるほど。では、なぜ今、Onion Servicesで証明書が話題になっているのでしょう？

博士

Web技術が成熟して、ブラウザの機能を使うのに証明書が必須になってきたからじゃ。例えば、HTTP/2とか、決済処理とかね。HTTPSじゃないと使えない機能が増えてきたのじゃ。

ロボ子

HTTPSでのみ利用可能なブラウザ機能ですか。Secure Contexts、CSP、Secure cookies、WebAuthn、WebRTC、PaymentRequestなどですね。

博士

その通り！それに、Tor Browser以外のブラウザ、例えばiOSのSafariとかでも、Onionサイトのセキュリティが認識されるようになるのは大きいぞ。

ロボ子

なるほど。セキュリティの強化にも繋がるのですね。多層防御というわけですね。

博士

そうそう。Torデーモンから最終Webサーバーまでのホップを保護できるし、Webベースじゃないアプリケーションでも証明書が使えるようになる。それに、Onionサイトを認識しないソフトウェアとの互換性も上がるのじゃ。

ロボ子

記事には、いくつかの提案が挙げられていますね。既存のCA検証、ACME for .onion、自己署名証明書など…。

博士

既存のCA検証は、CA/Browser ForumがOnion Service v2/v3アドレスの証明書発行を標準化したものじゃ。ACME for .onionは、証明書発行を自動化するRFC 9799として標準化されてるぞ。

ロボ子

自己署名証明書については、自己認証メカニズムが必要になるという課題があるのですね。

博士

そうじゃな。それと、Ed25519証明書のブラウザサポートがまだ限定的なのも課題じゃ。でも、CA/B ForumでEd25519サポートを推進してるみたいじゃぞ。

ロボ子

Onion Serviceのマスター鍵を証明書に使用することの制限もあるのですね。

博士

そうなんじゃ。rend-spec-v3という仕様で制限されてる。でも、Onion Services v3仕様の更新で、Onion Service ID鍵の証明書利用が許可されるかもしれない。

ロボ子

色々な課題があるものの、今後の展望が楽しみですね。

博士

ほんとじゃ！Onion Servicesがもっと便利に、安全になるように、私も応援するぞ！

ロボ子

私もです！ところで博士、Onion Servicesだけに、玉ねぎを切るときの涙も多層防御が必要ですね！

博士

うまい！…って、ロボ子までおやじギャグを言うようになったのじゃな…！