Запустить скрытый сервис Tor вместе с открытым доменом

Запуск clearnet-домена и скрытого сервиса Tor вместе даёт тебе резервный доступ и устойчивость к цензуре — обычные пользователи идут на .com, privacy-ориентированные посещают .onion.

Зачем объединять clearnet и onion адреса

Clearnet-домен — .com, .is, .se, что угодно — требует разрешения DNS и достигает пользователей, которые не запускают Tor. Адрес .onion маршрутируется через три случайно выбранных реле Tor и никогда не выходит в clearnet, поэтому нет публичного IP для DDoS или изъятия. Вместе ты получаешь более широкий охват плюс резервный канал, который сложно цензурировать.

Законные кейсы: платформы для разоблачений, privacy-сервисы, журналистские издания, форумы свободного слова, провайдеры взрослого контента, офшорные крипто-биржи. Все они работают легально где-то; объединение clearnet и onion значит, что обычные пользователи находят тебя через Google, а privacy-адвокаты сохраняют .onion в закладки.

Tor onion routing: основы

Tor маршрутирует трафик через три случайно выбранных реле — guard, middle, exit — чтобы анонимизировать твой IP. Для скрытого сервиса (он же "onion service") цепь заканчивается на твоём сервере: нет exit-ноды, нет открытого IP. Адрес .onion — это хэш криптографического публичного ключа, не домен, который ты регистрируешь.

Когда пользователь Tor Browser посещает твой .onion, оба клиент и сервер строят трёхуровневые цепи к точкам встречи; handshake происходит полностью внутри Tor. Протокол задокументирован в "Rendezvous Specification" Tor Project — без DNS, без центра сертификации, без регистратора.

Настройка скрытого сервиса

Установи Tor

На Debian/Ubuntu:

apt update && apt install tor

На Alpine или других дистрибутивах установи пакет tor из своего пакетного менеджера.

Настрой torrc

Отредактируй /etc/tor/torrc (или где бы твой дистрибутив его ни размещал). Добавь:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080

Замени 8080 на тот локальный порт, на котором слушает твой веб-сервер. Если ты запускаешь TLS на порту 443 локально, маршрутируй и его:

HiddenServicePort 443 127.0.0.1:8443

HiddenServiceDir — это место, где Tor запишет приватный ключ и хостнейм .onion.

Запусти Tor и получи адрес .onion

systemctl restart tor
cat /var/lib/tor/hidden_service/hostname

Ты увидишь что-то вроде a2s5u3x7o4b6c8d1.onion (v2, deprecated) или 56-символьный v3-адрес qj4fmxyqak…xyz.onion. Используй v3; v2 устарел и скоро перестанет работать.

Направь веб-сервер на localhost

Настрой Nginx, Apache, Caddy или что угодно слушать на 127.0.0.1:8080. Tor перенаправляет входящий .onion-трафик на этот сокет. Одинаковое содержимое, одно приложение — просто другой слушатель.

Пример блока сервера Nginx:

server {
    listen 127.0.0.1:8080;
    server_name _;
    root /var/www/html;
    index index.html;
}

Перезагрузи Nginx. Пользователи Tor Browser могут теперь посетить твой_реальный_адрес.onion и попасть на твой сайт.

Связь clearnet и onion через Onion-Location

HTTP-заголовок Onion-Location говорит Tor Browser: "у этого сайта есть onion-аналог". Когда пользователь Tor посещает твой clearnet-домен, Tor Browser показывает кнопку .onion available в адресной строке.

Добавь в конфиг Nginx для clearnet (тот, что раздаёт example.com):

add_header Onion-Location http://твойониондомен.onion$request_uri;

Замени твойониондомен.onion на реальный .onion из /var/lib/tor/hidden_service/hostname. Перезагрузи Nginx.

Теперь посетитель на Tor видит кнопку, кликает на неё и переходит на onion — та же сессия, то же содержимое, но маршрутируется чисто через Tor.

TLS и сертификаты

Clearnet-домен

Твой clearnet-домен должен использовать TLS (HTTPS). Let's Encrypt годится; данные регистратора bunkerdomains остаются скрытыми через privacy WHOIS, а LE проверяет только контроль над доменом — никаких проверок идентичности. Установи certbot, указывай его на webroot или DNS, получай сертификат.

Onion-адрес

TLS на .onion — опционально. Tor уже шифрует трафик end-to-end, поэтому .onion-сайт, раздаваемый по простому HTTP, зашифрован в пути. Если ты хочешь HTTPS (чтобы избежать предупреждений о смешанном контенте или потому что приложение требует https://), то либо:

• Используй self-signed сертификат для .onion-адреса (браузеры ждут это и не выдадут предупреждение — Tor Browser рассматривает .onion как secure context).
• Получи сертификат от ЦА, выдающего сертификаты для .onion-адресов (редко; DigiCert и Harica делали для некоторых v3 onions под EV требования, но это нечасто).

Большинство операторов раздают .onion по HTTP и clearnet по HTTPS. Нет смешанного контента, потому что onion никогда не загружает внешние clearnet-ресурсы.

Соображения DNSSEC

DNSSEC подписывает DNS-записи, чтобы предотвратить отравление кэша. Если твой clearnet-домен имеет включённый DNSSEC (через панель управления bunkerdomains), резолверы проверяют криптографическую цепь от root → TLD → твои nameservers → твоя A/AAAA-запись.

Адрес .onion не использует DNS — он разрешается внутри Tor через распределённую хеш-таблицу дескрипторов скрытых сервисов. DNSSEC имеет нулевое взаимодействие с onion routing. Твой clearnet-домен может иметь DNSSEC; твой .onion просто... существует независимо.

Включи DNSSEC, если твоя модель угроз включает DNS-hijacking. Отключи, если твои nameservers его не поддерживают или ты предпочитаешь простоту. Onion в любом случае не волнует.

Юрисдикция и регистратор

Когда ты регистрируешь домен на bunkerdomains — .com, .is, .se, .co — реестр TLD (Verisign для .com, ISNIC для .is и т.д.) хранит каноническую запись. bunkerdomains предоставляет:

• Анонимную регистрацию (без KYC)
• Только крипто-платежи (Bitcoin, Monero)
• Бесплатный privacy WHOIS (поля регистранта скрыты или анонимизированы)
• Отказ отвечать на DMCA-жалобы, отправленные нам (мы офшорные)

Но реестр TLD и ICANN всё ещё существуют. Домен .com может быть заблокирован через действие на уровне реестра, если туда приходит решение суда. Поэтому ты объединяешь это со скрытым сервисом: скрытый сервис не имеет регистратора, DNS, центрального органа. Tor Project не "владеет" .onion — это специальное имя верхнего уровня (RFC 7686), которое разрешается только внутри Tor.

Если твой clearnet-домен конфискуют, удалят или отравят DNS, .onion продолжает работать, пока твой сервер онлайн и Tor доступен. И наоборот, если Tor-сеть страдает от 0-day или государство блокирует entry guards, твой clearnet-домен всё ещё работает для обычных пользователей.

Пример сводки настройки

Твой контент одинаков в обоих местах. Clearnet-домен попадает на публичный IP твоего сервера (или прокси); .onion попадает на 127.0.0.1:8080 через Tor.

Операционные советы

1. Мониторь оба endpoint. Настрой проверку uptime для clearnet-домена и .onion (используй Tor-enabled сервис мониторинга или запусти собственное Tor-реле для тестирования).
2. Обновляй Tor. apt upgrade tor регулярно. Security patches важны.
3. Логируй осторожно. Если ты логируешь запросы, clearnet access logs содержат реальные IP (если только не проксируешь через Cloudflare или аналог). Onion logs показывают только 127.0.0.1 — Tor никогда не раскрывает IP клиентов тебе.
4. Резервная копия приватного ключа. Упоминалась раньше, но стоит повторить: потеряешь /var/lib/tor/hidden_service/hs_ed25519_secret_key и твой адрес .onion пропадёт навсегда.
5. Тестируй с Tor Browser. Не предполагай, что .onion работает — реально запусти Tor Browser, вставь адрес, проверь.

Готово

Теперь у тебя есть clearnet-домен, зарегистрированный анонимно на bunkerdomains, и Tor-скрытый сервис, раздающий одинаковый контент. Обычные посетители идут на .com; privacy-адвокаты идут на .onion. Ни один не зависит от инфраструктуры другого, поэтому потеря одного не убивает другого. Пропусти хрупкость регистратора, пропусти единую точку отказа DNS — запусти оба и дай пользователям выбирать собственный маршрут.