Ons hoor heeltyd die frase “nasionale veiligheid”, maar wanneer die regering ons kommunikasie begin monitor, dit opneem sonder geloofwaardige vermoede, regsgrondslag en sonder enige oënskynlike doel, moet ons onsself die vraag afvra: beskerm hulle werklik nasionale veiligheid of beskerm hulle hul eie?
- Edward Snowden
Hierdie samevatting is bedoel om die Gemeenskap se belangstelling in die kwessie van privaatheid te verhoog, wat in die lig van raak meer relevant as ooit tevore.
Op die agenda:
Entoesiaste uit die gemeenskap van die gedesentraliseerde internetverskaffer "Medium" skep hul eie soekenjin
Medium het 'n nuwe sertifiseringsowerheid, Medium Global Root CA, gestig. Wie sal deur die veranderinge geraak word?
Sekuriteitsertifikate vir elke huis - hoe om jou eie diens op die Yggdrasil-netwerk te skep en 'n geldige SSL-sertifikaat daarvoor uit te reik
Herinner my - wat is "Medium"?
Medium (Afrikaans Medium - "tussenganger", oorspronklike slagspreuk - Moenie vir jou privaatheid vra nie. neem dit terug; ook in Engelse woord medium beteken "intermediêr") - 'n Russiese gedesentraliseerde internetverskaffer wat netwerktoegangsdienste verskaf verniet.
Volle naam: Medium internetdiensverskaffer. Aanvanklik is die projek as в .
Gevorm in April 2019 as deel van die skepping van 'n onafhanklike telekommunikasie-omgewing deur eindgebruikers toegang te bied tot Yggdrasil-netwerkhulpbronne deur die gebruik van Wi-Fi-draadlose data-oordragtegnologie.
Meer inligting oor die onderwerp:
Entoesiaste uit die gemeenskap van die gedesentraliseerde internetverskaffer "Medium" skep hul eie soekenjin
Oorspronklik aanlyn , wat die gedesentraliseerde internetdiensverskaffer Medium as vervoer gebruik, het nie sy eie DNS-bediener of publieke sleutelinfrastruktuur gehad nie - die behoefte om sekuriteitsertifikate vir Medium netwerkdienste uit te reik het egter hierdie twee probleme opgelos.
Hoekom het jy PKI nodig as Yggdrasil uit die boks die vermoë bied om verkeer tussen eweknieë te enkripteer?Dit is nie nodig om HTTPS te gebruik om aan webdienste op die Yggdrasil-netwerk te koppel as jy aan hulle koppel deur 'n Yggdrasil-netwerkroeteerder wat plaaslik loop nie.
Inderdaad: Yggdrasil-vervoer is op peil laat jou toe om hulpbronne veilig binne die Yggdrasil-netwerk te gebruik - die vermoë om op te tree heeltemal uitgesluit.
Die situasie verander radikaal as jy nie direk toegang tot Yggdarsil se intranethulpbronne kry nie, maar deur 'n intermediêre nodus - die mediumnetwerktoegangspunt, wat deur sy operateur geadministreer word.
Wie kan in hierdie geval die data wat jy oordra, in gevaar stel:
- Toegangspunt operateur. Dit is duidelik dat die huidige operateur van die Medium-netwerktoegangspunt ongeënkripteerde verkeer wat deur sy toerusting gaan, kan afluister.
- indringer (). Medium het 'n probleem soortgelyk aan , slegs met betrekking tot invoer- en intermediêre nodusse.
Dit is hoe dit lyk
besluit: om toegang tot webdienste binne die Yggdrasil-netwerk te verkry, gebruik die HTTPS-protokol (vlak 7 ). Die probleem is dat dit nie moontlik is om 'n opregte sekuriteitsertifikaat vir Yggdrasil-netwerkdienste op konvensionele maniere uit te reik soos bv. .
Daarom het ons ons eie sertifiseringsentrum gestig - . Die oorgrote meerderheid dienste in die Medium-netwerk word onderteken deur die wortelsekuriteitsertifikaat van die intermediêre sertifiseringsowerheid Medium Domain Validation Secure Server CA.
Die moontlikheid om die wortelsertifikaat van die sertifiseringsowerheid te kompromitteer is natuurlik in ag geneem – maar hier is die sertifikaat meer nodig om die integriteit van data-oordrag te bevestig en die moontlikheid van MITM-aanvalle uit te skakel.
Mediumnetwerkdienste van verskillende operateurs het verskillende sekuriteitsertifikate, op een of ander manier onderteken deur die wortelsertifiseringsowerheid. Root CA-operateurs kan egter nie geënkripteerde verkeer afluister vanaf dienste waarheen hulle sekuriteitsertifikate onderteken het nie (sien ).
Diegene wat veral bekommerd is oor hul veiligheid, kan middele soos bykomende beskerming gebruik, soos и .
Tans het die publieke sleutelinfrastruktuur van die Medium-netwerk die vermoë om die status van 'n sertifikaat na te gaan deur die protokol te gebruik of deur gebruik .
Kom by die punt uit
Gebruiker begin met die ontwikkeling van 'n soekenjin vir webdienste wat op die Yggdrasil-netwerk geleë is. 'n Belangrike aspek is die feit dat die bepaling van IPv6-adresse van dienste wanneer 'n soektog uitgevoer word, uitgevoer word deur 'n versoek te stuur na 'n DNS-bediener wat binne die Medium-netwerk geleë is.
Die belangrikste TLD is .ygg. Die meeste domeinname het hierdie TLD, met twee uitsonderings: .isp и Gg.
Die soekenjin is onder ontwikkeling, maar die gebruik daarvan is vandag reeds moontlik – besoek net die webwerf .
Jy kan die ontwikkeling van die projek help, .
Medium het 'n nuwe sertifiseringsowerheid, Medium Global Root CA, gestig. Wie sal deur die veranderinge geraak word?
Gister is openbare toetsing van die funksionaliteit van die Medium Root CA-sertifiseringsentrum voltooi. Aan die einde van die toetsing is foute in die werking van publieke sleutelinfrastruktuurdienste reggestel en 'n nuwe wortelsertifikaat van die sertifiseringsowerheid "Medium Global Root CA" is geskep.
Al die nuanses en kenmerke van PKI is in ag geneem - nou sal die nuwe CA-sertifikaat "Medium Global Root CA" eers tien jaar later (na die vervaldatum) uitgereik word. Nou word sekuriteitsertifikate slegs deur intermediêre sertifiseringsowerhede uitgereik - byvoorbeeld "Medium Domain Validation Secure Server CA".
Hoe lyk die sertifikaattrustketting nou?
Wat moet gedoen word vir alles om te werk as jy 'n gebruiker is:
Aangesien sommige dienste HSTS gebruik, moet jy data van Medium intranethulpbronne uitvee voordat jy Medium netwerkhulpbronne gebruik. Jy kan dit doen in die Geskiedenis-oortjie van jou blaaier.
Dit is ook nodig sertifiseringsentrum "Medium Global Root CA".
Wat moet gedoen word om alles te laat werk as jy 'n stelseloperateur is:
Jy moet die sertifikaat vir jou diens op die bladsy heruitreik (die diens is slegs beskikbaar op die Medium-netwerk).
Sekuriteitsertifikate vir elke huis - hoe om jou eie diens op die Yggdrasil-netwerk te skep en 'n geldige SSL-sertifikaat daarvoor uit te reik
As gevolg van die groei in die aantal intranetdienste op die Medium-netwerk, het die behoefte om nuwe sekuriteitsertifikate uit te reik en hul dienste so op te stel dat hulle SSL ondersteun, toegeneem.
Aangesien Habr 'n tegniese hulpbron is, sal een van die agenda-items in elke nuwe samevatting die tegniese kenmerke van die Medium-netwerkinfrastruktuur openbaar. Hieronder is byvoorbeeld omvattende instruksies vir die uitreiking van 'n SSL-sertifikaat vir jou diens.
Die voorbeelde sal die domeinnaam aandui domein.ygg, wat vervang moet word met die domeinnaam van jou diens.
Stap 1. Genereer private sleutel en Diffie-Hellman parameters
openssl genrsa -out domain.ygg.key 2048dan:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Stap 2. Skep 'n sertifikaatondertekeningversoek
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confLêer inhoud domein.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Stap 3. Dien 'n sertifikaatversoek in
Om dit te doen, kopieer die inhoud van die lêer domein.ygg.csr en plak dit in die teksveld op die webwerf .
Volg die instruksies wat op die webwerf verskaf word, en klik dan op "Stuur". Indien suksesvol, sal 'n boodskap gestuur word na die e-posadres wat jy gespesifiseer het wat 'n aanhangsel bevat in die vorm van 'n sertifikaat wat deur 'n intermediêre sertifiseringsowerheid onderteken is.
Stap 4. Stel jou webbediener op
As jy nginx as jou webbediener gebruik, gebruik die volgende konfigurasie:
lêer domein.ygg.conf in die gids /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
lêer ssl-params.conf in die gids /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
lêer domein.ygg.conf in die gids /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Die sertifikaat wat jy per e-pos ontvang het, moet gekopieer word na: /etc/ssl/certs/domain.ygg.crt. Privaat sleutel (domein.ygg.sleutel) plaas dit in 'n gids /etc/ssl/private/.
Stap 5. Herbegin jou webbediener
sudo service nginx restartGratis internet in Rusland begin by jou
U kan vandag alle moontlike hulp verleen om 'n gratis internet in Rusland te vestig. Ons het 'n omvattende lys saamgestel van hoe jy die netwerk kan help:
- Vertel jou vriende en kollegas van die Medium-netwerk. Deel na hierdie artikel in sosiale netwerke of persoonlike blog
- Neem deel aan die bespreking van tegniese kwessies van die Medium-netwerk
- Skep jou webdiens op die Yggdrasil-netwerk en voeg dit by
- Verhoog jou na die Medium-netwerk
Vorige vrystellings:
Sien ook:
Ons by Telegram:
Slegs geregistreerde gebruikers kan aan die opname deelneem. , asseblief.
Alternatiewe stemming: dit is vir ons belangrik om die mening te ken van diegene wat nie 'n volledige rekening op Habré het nie
-
↑
-
↓
7 gebruikers het gestem. 2 gebruikers het buite stemming gebly.
Bron: will.com