如何驗證一個 .onion 映象

方法一 —— Onion-Location 頭（最簡單）

現代 Tor Browser 會讀取服務方明網站點的 Onion-Location 響應頭，並顯示".onion available"提示。你在 Tor Browser 中訪問 https://provider.com，如果它彈出的 onion 與目錄列出的一致——那就是來自第一方的認證：運營方在他們控制的明網站點上顯式設定了這個頭。

1. 用 Tor Browser 開啟服務方的明網 URL。
2. 在位址列裡找紫色的 ".onion available" 標籤。
3. 把它給出的 onion 與 /onion-audit 列出的對照。

我們的 VPS 每天自動跑這一步：結果落在 /onion-audit。不匹配會在 24 小時內進入編輯稽核佇列。

方法二 —— 校驗簽名公鑰指紋

長期運營的服務方會在其正式明網站點（或透過 PGP 簽名的 Git 提交）公佈洋蔥服務公鑰的指紋。你在 Tor 上訪問的地址正是從這把公鑰派生出來的——所以 onion 字串的字首就是金鑰指紋。

1. 在明網站點上找 "Tor mirror" / "Onion" 頁，那裡會列出 v3 onion 地址。
2. 把那串字元與你瀏覽器當前所連地址逐字元對照。
3. 加分項：如果運營方用 PGP 簽了名（有的會），用他們公開的金鑰驗證簽名。

方法三 —— 多目錄交叉比對

xmr.club、Monerica、kycnot.me、Privacy Guides、Awesome Onion 列表彼此獨立維護。若其中三家對同一家服務方給出同一個 onion，三家全部同時被釣魚的機率很低。我們把資料集釋出在 /data.json（CC-BY-4.0），就是為了讓這種交叉核對成本低。

危險訊號

• 你拿到的地址與 /onion-audit + /data.json 列出的不一致。 可能是劫持或拼寫錯誤——別登入。
• onion 在註冊時跳轉到明網。 運營方自己的 Tor 流程壞了——可以瀏覽，但在他們修復之前不要登入。
• 明網用自籤 TLS 並要求你新增例外。 真實運營方的 v3 onion 本身不需要 TLS，但他們的明網站點應仍持有合法證書——證書不對就是釣魚訊號。
• 地址是別人在 DM 裡發給你的。 信任前永遠要去公開來源交叉核對。

驗證映象的工具精選

更多指南