Der gleichzeitige Betrieb einer Clearnet-Domain und eines Tor Hidden Service gibt dir Fallback-Reichweite und Zensurresistenz—legitime Nutzer erreichen die .com, datenschutzbewusste Besucher erreichen das .onion.
TL;DR — Kombiniere eine bei bunkerdomains registrierte Clearnet-Domain mit einem Tor Hidden Service, um den gleichen Inhalt auf beiden Netzwerken bereitzustellen. Die Clearnet-Domain bleibt unter anonymer Registrierung; das .onion existiert komplett auf Tor, keine DNS oder Registrar beteiligt.
Warum Clearnet und Onion Adressen kombinieren
Eine Clearnet-Domain—.com, .is, .se, was auch immer—erfordert DNS-Auflösung und erreicht Nutzer, die Tor nicht verwenden. Eine .onion-Adresse routet drei Hops durch das Tor-Netzwerk und existiert nie auf dem Clearnet, also gibt es keine öffentliche IP zu DDoS-en oder zu beschlagnahmen. Zusammen bekommst du breitere Reichweite plus ein schwer zu zensierendes Backup.
Legitime Anwendungsfälle: Whistleblower-Plattformen, Datenschutz-fokussierte Services, Journalismus-Outlets, Free-Speech-Foren, Anbieter von Adult Content, Off-Shore Krypto-Börsen. Alle operieren irgendwo legal; die Kombination von Clearnet und Onion bedeutet, dass Mainstream-Nutzer dich via Google finden, während Datenschutz-Befürworter das .onion bookmarken.
Tor Onion Routing: die Grundlagen
Tor routet Traffic durch drei zufällig ausgewählte Relays—Guard, Middle, Exit—um deine IP zu anonymisieren. Bei einem Hidden Service (auch "Onion Service" genannt) endet die Schaltung bei deinem Server: kein Exit Node, keine Clearnet IP exponiert. Die .onion-Adresse ist der Hash eines kryptografischen Public Key, nicht eine Domain, die du registrierst.
Wenn ein Tor Browser Nutzer dein .onion besucht, bauen sowohl Client als auch Server drei-Hop-Schaltungen zu Rendezvous-Punkten auf; der Handshake findet komplett in Tor statt. Das Protokoll ist dokumentiert in der Tor Project "Rendezvous Specification"—keine DNS, keine Certificate Authority, kein Registrar.
Den Hidden Service einrichten
Tor installieren
Auf Debian/Ubuntu:
apt update && apt install torAuf Alpine oder anderen Distros installierst du das tor Paket aus deinem Package Manager.
torrc konfigurieren
Bearbeite /etc/tor/torrc (oder wo deine Distro es ablegt). Füge hinzu:
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080
Ersetze 8080 mit dem lokalen Port, auf dem dein Web Server läuft. Falls du TLS auf Port 443 lokal betreibst, mache auch das:
HiddenServicePort 443 127.0.0.1:8443
Das HiddenServiceDir ist der Ort, wo Tor den Private Key und den .onion Hostnamen schreibt.
Tor starten und .onion Adresse abrufen
systemctl restart tor
cat /var/lib/tor/hidden_service/hostnameDu wirst etwas wie a2s5u3x7o4b6c8d1.onion (v2, veraltet) oder eine 56-stellige v3-Adresse qj4fmxyqak…xyz.onion sehen. Nutze v3; v2 ist obsolet und wird nicht mehr funktionieren.
Deinen Web Server auf localhost zeigen lassen
Konfiguriere Nginx, Apache, Caddy oder was auch immer, um auf 127.0.0.1:8080 zu lauschen. Tor leitet eingehenden .onion Traffic an diese Socket weiter. Gleicher Inhalt, gleiche App—nur ein anderer Listener.
Beispiel Nginx Server Block:
server {
listen 127.0.0.1:8080;
server_name _;
root /var/www/html;
index index.html;
}Starte Nginx neu. Tor Browser Nutzer können jetzt deine_aktuelle_onion_adresse.onion besuchen und deine Seite treffen.
Clearnet mit Onion via Onion-Location verlinken
Der Onion-Location HTTP Header sagt Tor Browser "diese Seite hat ein Onion-Gegenstück." Wenn ein Tor Nutzer deine Clearnet-Domain besucht, zeigt Tor Browser einen .onion verfügbar Button in der Adressleiste.
Füge deiner Clearnet Nginx Config hinzu (die eine serviert example.com):
add_header Onion-Location http://youroniondomain.onion$request_uri;Ersetze youroniondomain.onion mit dem tatsächlichen .onion aus /var/lib/tor/hidden_service/hostname. Lade Nginx neu.
Jetzt sieht ein Besucher auf Tor den Button, klickt ihn, und wechselt zum Onion—gleiche Session, gleicher Inhalt, aber reines Tor Routing.
TLS und Zertifikate
Clearnet Domain
Deine Clearnet-Domain sollte TLS (HTTPS) nutzen. Let's Encrypt ist in Ordnung; bunkerdomains Registrar Details bleiben via Privacy WHOIS verborgen, und LE validiert nur Domain Control—kein Identitätscheck. Installiere certbot, zeige auf deine Webroot oder DNS, besorge das Zert.
Onion Adresse
TLS auf .onion ist optional. Tor verschlüsselt bereits Traffic Ende-zu-Ende, also ist eine .onion Seite über Plain HTTP verschlüsselt in Transit. Falls du willst HTTPS (um Mixed-Content Warnungen zu vermeiden oder weil deine App https:// hardcodiert), entweder:
- Nutze ein selbst signiertes Zertifikat für die .onion Adresse (Browser erwarten das und werden nicht warnen—Tor Browser behandelt .onion als sicheren Kontext).
- Generiere ein Zert via CA, die zu .onion Adressen ausstellt (selten; DigiCert und Harica taten es für bestimmte v3 Onions unter EV Anforderungen, aber es ist ungewöhnlich).
Die meisten Betreiber servieren .onion über HTTP und Clearnet über HTTPS. Kein Mixed Content, weil das Onion nie externe Clearnet Ressourcen lädt.
DNSSEC Überlegungen
DNSSEC signiert DNS Einträge, um Cache Poisoning zu verhindern. Falls deine Clearnet-Domain DNSSEC aktiviert hat (via bunkerdomains Kontrollpanel), verifizieren Resolver die kryptografische Kette von Root → TLD → deine Nameserver → dein A/AAAA Eintrag.
Die .onion Adresse nutzt keine DNS—sie wird in Tor via der verteilten Hash Table von Hidden Service Descriptors aufgelöst. DNSSEC hat null Interaktion mit Onion Routing. Deine Clearnet-Domain kann DNSSEC haben; dein .onion existiert einfach… unabhängig.
Aktiviere DNSSEC, wenn dein Threat Modell DNS Hijacking enthält. Deaktiviere es, falls deine Nameserver es nicht unterstützen oder du Vereinfachung preferierst. Das Onion kümmert sich sowieso nicht drum.
Jurisdiktion und der Registrar
Wenn du eine Domain bei bunkerdomains registrierst—.com, .is, .se, .co—hält das TLD Registry (Verisign für .com, ISNIC für .is, usw.) den kanonischen Eintrag. bunkerdomains bietet:
- Anonyme Anmeldung (kein KYC)
- Nur Krypto-Zahlung (Bitcoin, Monero)
- Kostenlos Privacy WHOIS (Registrant-Felder redaktioniert oder anonymisiert)
- Keine Antworten auf DMCA-Beschwerde an uns (wir sind Offshore)
Aber das TLD Registry und ICANN existieren noch. Eine .com Domain kann via Registry-Level Action suspendiert werden, falls ein Gerichtsbeschluss dort ankommt. Darum kombinierst du sie mit einem .onion: der Hidden Service hat keinen Registrar, keine DNS, keine zentrale Autorität. Tor Project "besitzt" nicht .onion—es ist ein Special-Use Top-Level Name (RFC 7686), der nur in Tor aufgelöst wird.
Falls deine Clearnet-Domain beschlagnahmt, geknackt oder DNS-vergiftet wird, bleibt das .onion laufen, solange dein Server online ist und Tor erreichbar ist. Umgekehrt, falls das Tor-Netzwerk eine 0-Day erleidet oder ein Nation-State Entry Guards blockiert, funktioniert deine Clearnet-Domain immer noch für Mainstream-Nutzer.
Beispiel Setup Zusammenfassung
| Schicht | Technologie | Bedrohung gemindert |
|---|---|---|
| Clearnet Domain | bunkerdomains .com + Privacy WHOIS | Registrant Deanonymisierung |
| DNS | DNSSEC (optional) | Cache Poisoning |
| TLS (Clearnet) | Let's Encrypt | Man-in-the-Middle |
| Onion Service | Tor v3 Hidden Service | IP Exposure, DNS Seizure, Single Point of Failure |
| Onion-Location Header | HTTP Header oder Meta Tag | Manuelle Bookmark-Last für Tor Nutzer |
Dein Inhalt ist identisch auf beiden. Die Clearnet-Domain trifft deine Server Public IP (oder Proxy); das .onion trifft 127.0.0.1:8080 via Tor.
Operationelle Tipps
- Überwache beide Endpunkte. Richte Uptime Checks für die Clearnet-Domain und das .onion auf (nutze einen Tor-fähigen Monitoring Service oder betreibe dein eigenes Tor Relay zum Testen).
- Halte Tor aktuell.
apt upgrade torregelmäßig. Security Patches sind wichtig. - Protokolliere sorgfältig. Falls du Requests loggst, enthalten Clearnet Access Logs echte IPs (außer du proxyerst via Cloudflare oder ähnliches). Die Onion Logs zeigen nur
127.0.0.1—Tor offenbart dir nie Client IPs. - Sichert den Private Key. Erwähnt früher, aber es lohnt sich zu wiederholen: verlierst du
/var/lib/tor/hidden_service/hs_ed25519_secret_keyund deine .onion Adresse ist für immer weg. - Teste mit Tor Browser. Nimm nicht an, dass dein .onion funktioniert—starte tatsächlich Tor Browser, füge die Adresse ein, verifiziere.
Erledigt
Du hast jetzt eine Clearnet-Domain, anonym bei bunkerdomains registriert, und einen Tor Hidden Service, der identischen Inhalt serviert. Mainstream-Besucher treffen die .com; Datenschutz-Verfechter treffen das .onion. Keines verlässt sich auf der Infrastruktur des anderen, also das Verlieren eines tötet nicht das andere. Skip die Registrar-Fragilität, skip den DNS Single-Point-of-Failure—betreibe beide und lass deine Nutzer ihr eigenes Routing wählen.