Ons hoor heeltyd die frase “nasionale veiligheid”, maar wanneer die regering ons kommunikasie begin monitor, dit opneem sonder geloofwaardige vermoede, regsgrondslag en sonder enige oënskynlike doel, moet ons onsself die vraag afvra: beskerm hulle werklik nasionale veiligheid of beskerm hulle hul eie?
- Edward Snowden
Hierdie samevatting is bedoel om die Gemeenskap se belangstelling in die kwessie van privaatheid te verhoog, wat in die lig van jongste gebeure raak meer relevant as ooit tevore.
Op die agenda:
Entoesiaste uit die gemeenskap van die gedesentraliseerde internetverskaffer "Medium" skep hul eie soekenjin
Medium het 'n nuwe sertifiseringsowerheid, Medium Global Root CA, gestig. Wie sal deur die veranderinge geraak word?
Sekuriteitsertifikate vir elke huis - hoe om jou eie diens op die Yggdrasil-netwerk te skep en 'n geldige SSL-sertifikaat daarvoor uit te reik
Herinner my - wat is "Medium"?
Medium (Afrikaans Medium - "tussenganger", oorspronklike slagspreuk - Moenie vir jou privaatheid vra nie. neem dit terug; ook in Engelse woord medium beteken "intermediêr") - 'n Russiese gedesentraliseerde internetverskaffer wat netwerktoegangsdienste verskaf Yggdrasil verniet.
Gevorm in April 2019 as deel van die skepping van 'n onafhanklike telekommunikasie-omgewing deur eindgebruikers toegang te bied tot Yggdrasil-netwerkhulpbronne deur die gebruik van Wi-Fi-draadlose data-oordragtegnologie.
Entoesiaste uit die gemeenskap van die gedesentraliseerde internetverskaffer "Medium" skep hul eie soekenjin
Oorspronklik aanlyn Yggdrasil, wat die gedesentraliseerde internetdiensverskaffer Medium as vervoer gebruik, het nie sy eie DNS-bediener of publieke sleutelinfrastruktuur gehad nie - die behoefte om sekuriteitsertifikate vir Medium netwerkdienste uit te reik het egter hierdie twee probleme opgelos.
Hoekom het jy PKI nodig as Yggdrasil uit die boks die vermoë bied om verkeer tussen eweknieë te enkripteer?Dit is nie nodig om HTTPS te gebruik om aan webdienste op die Yggdrasil-netwerk te koppel as jy aan hulle koppel deur 'n Yggdrasil-netwerkroeteerder wat plaaslik loop nie.
Inderdaad: Yggdrasil-vervoer is op peil protokol laat jou toe om hulpbronne veilig binne die Yggdrasil-netwerk te gebruik - die vermoë om op te tree MITM aanvalle heeltemal uitgesluit.
Die situasie verander radikaal as jy nie direk toegang tot Yggdarsil se intranethulpbronne kry nie, maar deur 'n intermediêre nodus - die mediumnetwerktoegangspunt, wat deur sy operateur geadministreer word.
Wie kan in hierdie geval die data wat jy oordra, in gevaar stel:
Toegangspunt operateur. Dit is duidelik dat die huidige operateur van die Medium-netwerktoegangspunt ongeënkripteerde verkeer wat deur sy toerusting gaan, kan afluister.
indringer (man in die middel). Medium het 'n probleem soortgelyk aan Tor netwerk probleem, slegs met betrekking tot invoer- en intermediêre nodusse.
Dit is hoe dit lyk
besluit: om toegang tot webdienste binne die Yggdrasil-netwerk te verkry, gebruik die HTTPS-protokol (vlak 7 OSI modelle). Die probleem is dat dit nie moontlik is om 'n opregte sekuriteitsertifikaat vir Yggdrasil-netwerkdienste op konvensionele maniere uit te reik soos bv. Kom ons enkripteer.
Daarom het ons ons eie sertifiseringsentrum gestig - "Medium Global Root CA". Die oorgrote meerderheid dienste in die Medium-netwerk word onderteken deur die wortelsekuriteitsertifikaat van die intermediêre sertifiseringsowerheid Medium Domain Validation Secure Server CA.
Die moontlikheid om die wortelsertifikaat van die sertifiseringsowerheid te kompromitteer is natuurlik in ag geneem – maar hier is die sertifikaat meer nodig om die integriteit van data-oordrag te bevestig en die moontlikheid van MITM-aanvalle uit te skakel.
Mediumnetwerkdienste van verskillende operateurs het verskillende sekuriteitsertifikate, op een of ander manier onderteken deur die wortelsertifiseringsowerheid. Root CA-operateurs kan egter nie geënkripteerde verkeer afluister vanaf dienste waarheen hulle sekuriteitsertifikate onderteken het nie (sien "Wat is KSV?").
Diegene wat veral bekommerd is oor hul veiligheid, kan middele soos bykomende beskerming gebruik, soos PGE и soortgelyk.
Tans het die publieke sleutelinfrastruktuur van die Medium-netwerk die vermoë om die status van 'n sertifikaat na te gaan deur die protokol te gebruik OCSP of deur gebruik C.R.L..
Kom by die punt uit
Gebruiker @NXShock begin met die ontwikkeling van 'n soekenjin vir webdienste wat op die Yggdrasil-netwerk geleë is. 'n Belangrike aspek is die feit dat die bepaling van IPv6-adresse van dienste wanneer 'n soektog uitgevoer word, uitgevoer word deur 'n versoek te stuur na 'n DNS-bediener wat binne die Medium-netwerk geleë is.
Die belangrikste TLD is .ygg. Die meeste domeinname het hierdie TLD, met twee uitsonderings: .isp и Gg.
Die soekenjin is onder ontwikkeling, maar die gebruik daarvan is vandag reeds moontlik – besoek net die webwerf soek.medium.isp.
Medium het 'n nuwe sertifiseringsowerheid, Medium Global Root CA, gestig. Wie sal deur die veranderinge geraak word?
Gister is openbare toetsing van die funksionaliteit van die Medium Root CA-sertifiseringsentrum voltooi. Aan die einde van die toetsing is foute in die werking van publieke sleutelinfrastruktuurdienste reggestel en 'n nuwe wortelsertifikaat van die sertifiseringsowerheid "Medium Global Root CA" is geskep.
Al die nuanses en kenmerke van PKI is in ag geneem - nou sal die nuwe CA-sertifikaat "Medium Global Root CA" eers tien jaar later (na die vervaldatum) uitgereik word. Nou word sekuriteitsertifikate slegs deur intermediêre sertifiseringsowerhede uitgereik - byvoorbeeld "Medium Domain Validation Secure Server CA".
Hoe lyk die sertifikaattrustketting nou?
Wat moet gedoen word vir alles om te werk as jy 'n gebruiker is:
Aangesien sommige dienste HSTS gebruik, moet jy data van Medium intranethulpbronne uitvee voordat jy Medium netwerkhulpbronne gebruik. Jy kan dit doen in die Geskiedenis-oortjie van jou blaaier.
Wat moet gedoen word om alles te laat werk as jy 'n stelseloperateur is:
Jy moet die sertifikaat vir jou diens op die bladsy heruitreik pki.medium.isp (die diens is slegs beskikbaar op die Medium-netwerk).
Sekuriteitsertifikate vir elke huis - hoe om jou eie diens op die Yggdrasil-netwerk te skep en 'n geldige SSL-sertifikaat daarvoor uit te reik
As gevolg van die groei in die aantal intranetdienste op die Medium-netwerk, het die behoefte om nuwe sekuriteitsertifikate uit te reik en hul dienste so op te stel dat hulle SSL ondersteun, toegeneem.
Aangesien Habr 'n tegniese hulpbron is, sal een van die agenda-items in elke nuwe samevatting die tegniese kenmerke van die Medium-netwerkinfrastruktuur openbaar. Hieronder is byvoorbeeld omvattende instruksies vir die uitreiking van 'n SSL-sertifikaat vir jou diens.
Die voorbeelde sal die domeinnaam aandui domein.ygg, wat vervang moet word met die domeinnaam van jou diens.
Stap 1. Genereer private sleutel en Diffie-Hellman parameters
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Stap 3. Dien 'n sertifikaatversoek in
Om dit te doen, kopieer die inhoud van die lêer domein.ygg.csr en plak dit in die teksveld op die webwerf pki.medium.isp.
Volg die instruksies wat op die webwerf verskaf word, en klik dan op "Stuur". Indien suksesvol, sal 'n boodskap gestuur word na die e-posadres wat jy gespesifiseer het wat 'n aanhangsel bevat in die vorm van 'n sertifikaat wat deur 'n intermediêre sertifiseringsowerheid onderteken is.
Stap 4. Stel jou webbediener op
As jy nginx as jou webbediener gebruik, gebruik die volgende konfigurasie:
lêer domein.ygg.conf in die gids /etc/nginx/sites-available/
Die sertifikaat wat jy per e-pos ontvang het, moet gekopieer word na: /etc/ssl/certs/domain.ygg.crt. Privaat sleutel (domein.ygg.sleutel) plaas dit in 'n gids /etc/ssl/private/.
Stap 5. Herbegin jou webbediener
sudo service nginx restart
Gratis internet in Rusland begin by jou
U kan vandag alle moontlike hulp verleen om 'n gratis internet in Rusland te vestig. Ons het 'n omvattende lys saamgestel van hoe jy die netwerk kan help:
Vertel jou vriende en kollegas van die Medium-netwerk. Deel skakel na hierdie artikel in sosiale netwerke of persoonlike blog
Neem deel aan die bespreking van tegniese kwessies van die Medium-netwerk op GitHub