<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The name <a href="http://tor.facebook.com" rel="noreferrer" target="_blank">tor.facebook.com</a> is not self-authenticating, which is the<br>
main practically useful function of .onion names.<br></blockquote><div><br></div><div>Well ... but this thread starts by observing that attackers are exploiting the fact that Onion names are opaque random strings, meaning people do (at best) prefix matches of a few characters.</div><div><br></div><div>So isn't the issue that Onion names are <i>not</i>, in practice, self authenticating?</div><div><br></div><div>There are not thousands of CA's, even Firefox only trusts a hundred or so in total and EV certs are issued by only about 25-30. And Google is forcing them into certificate transaparency, so if someone did issue a bogus EV cert under your name you'd be able to locate it immediately with something as basic as a cron job.</div><div><br></div><div>Chrome already shows visually if a page is bookmarked or not (the star on the right hand side). So there's nothing to do there.</div></div></div></div>