makerofthings7 写道：

似乎 TOR 更好/更安全，因为它不使用 DNS，也不依赖 CA

正如最终用户有责任在接受 TLS 证书之前对其进行验证一样，用户也有责任验证洋葱地址是否为预期地址。从开始

• (a) 我知道一个洋葱地址
• (b) 我知道一个常规域名（例如“google.com”）

你是说，假设：

• (a) 我解决了一个棘手的问题
• (b) 我还没有解决一个棘手的问题

并且（a）直接意味着比（b）更高的安全性，因为假设更强。

但是陈述（a）实际上意味着“我知道如何解决棘手的问题”，所以你应该也能够解决（b）。IOW，如果您可以可靠地获得洋葱地址（例如通过电话从您知道声音的人那里），您应该能够可靠地获得同一提供商的网站的 TLS 证书指纹。

但您可能依赖一些 Internet 资源（网站、Usenet 消息、电子邮件...）来了解洋葱地址：

• (1) 您是否信任该消息的声称作者？
• (2) 您是否相信该信息确实是该作者撰写的？

也许该消息是在 HTTPS 网站上找到的，而您返回的是：

• (a) 验证网站所有者是您信任的人
• (b) 你看到的网站是真实的网站，IOW 认为 TLS 证书是有效的。

也许该消息是在电子邮件中找到的，您必须检查 PGP/GPG（或 S/MIME）签名。然后你回来了：谁拥有这个 PGP/GPG/S/MIME 签名？在任何情况下，您都需要一个信任锚。

没有任何加密协议或工具可以单独解决这个问题，因为它不是算法问题，而是事实检查问题，诸如“这个密钥确实属于这个人”之类的事实，并且在大多数情况下信任其他人进行事实检查，除非你可以亲自见到那个人并询问他的钥匙指纹，老实说，这种情况很少见（我试过我的银行，他们不知道钥匙的指纹是什么）。

HTTPS 的一个问题是您需要信任根 CA。大多数浏览器默认都有很多。

使用 TOR 隐藏服务，.onion地址本身包含服务器公钥的哈希，因此您不需要任何 CA。

但主要问题是.onion地址不是非常用户友好。所以问题转移到获取/验证您使用的是正确的.onion地址。我一眼就看出这stackexchange.com是我想要的网站，因为它很容易记住。另一方面，记住一个 .onion 地址是很困难的。

一些项目（例如 namecoin）旨在创建用户友好名称和公钥的安全关联。但是还没有这样的项目被集成到 TOR 中。

“更多”，是的。但是，如果您试图应对的威胁不是针对您的漏洞，那么这没有意义。

在 Tor 隐藏服务中，MITM 攻击是一件奇怪的事情。如果你信任隐藏的服务（也许你遇到了给你一个 .onion url 的人？），并且你信任你的 Tor 客户端（即 MITM 不会给你提供受污染的二进制文件），那么，因为你没有外包你的信任对于证书颁发机构来说，它提供了针对“更多”威胁的保护……但自签名证书和预共享密钥或 PGP 也是如此。

您的问题的具体答案是：

• HTTPS还对流量进行端到端加密
• 当且仅当您拥有共享证书或 .onion 或其他东西时，与信任 CA 相比，MITM 会减少，否则，您将连接到匿名服务器。
• TOR 中没有等效的名称解析（.onions 类似于网络地址）
• HTTPS 具有传统上信任浏览器证书存储中的每个 CA 的额外风险（除非您自签名）

TOR HSP 与 HTTPS + IPSEC + DNSSec 相比如何？A. 苹果和橙子。一个提供与匿名服务的加密匿名通信，另一个提供与从当局和注册商处购买信任的服务的安全通信（以及在信任关系中涉及资金的含义）。

你是 Tor 新手吗？听起来您可能会弄错它的用途。

只需使用 Tor 并通过 Internet SSL/TLS 代理建立隧道。只需确保双方都正确配置了隧道和 DNS 解析器。关于这些东西有很多要了解的，最好能排除故障、验证和了解每一个小细节。

Qualys SSL Labs和 sslstrip/ssldump等一些工具非常有用。

另一个可能更好的选择是将 OpenVPN 之类的东西用于您自己的隐藏 Tor 节点。

换句话说，不要比较这些技术；将它们结合起来。