“የአገር ደህንነት” የሚለውን ሀረግ በየጊዜው የምንሰማው ቢሆንም መንግስት ግንኙነታችንን መከታተል ሲጀምር ፣ያለ ተአማኒነት ያለው ጥርጣሬ ፣ህጋዊ መሰረት እና ያለ ምንም ግልጽ ዓላማ መመዝገብ ሲጀምር ፣እርግጥ የሀገርን ደህንነት እየጠበቁ ናቸው ወይ? የራሳቸው ጥበቃ ናቸው?
- ኤድዋርድ ስኖውደን
ይህ የምግብ አሰራር የማህበረሰቡን በግላዊነት ጉዳይ ላይ ያለውን ፍላጎት ለመጨመር የታሰበ ነው ከበፊቱ የበለጠ ተዛማጅ ይሆናል።
በአጀንዳው ላይ፡-
ያልተማከለ የበይነመረብ አቅራቢ "መካከለኛ" ማህበረሰብ አድናቂዎች የራሳቸውን የፍለጋ ሞተር ይፈጥራሉ
መካከለኛ መካከለኛ ግሎባል ሥር CA አዲስ የምስክር ወረቀት ባለስልጣን አቋቁሟል። በለውጦቹ የሚነኩት እነማን ናቸው?
የደህንነት የምስክር ወረቀቶች ለእያንዳንዱ ቤት - በYggdrasil አውታረመረብ ላይ የራስዎን አገልግሎት እንዴት መፍጠር እንደሚችሉ እና ለእሱ ትክክለኛ የሆነ የኤስኤስኤል ሰርተፍኬት እንደሚሰጡ
አስታውሰኝ - "መካከለኛ" ምንድን ነው?
መካከለኛ (ዓ. መካከለኛ - "አማላጅ", የመጀመሪያ መፈክር - የእርስዎን ግላዊነት አይጠይቁ። መልሰህ ውሰደው; እንዲሁም በእንግሊዝኛ ቃል መካከለኛ “መካከለኛ” ማለት ነው) - የአውታረ መረብ መዳረሻ አገልግሎቶችን የሚሰጥ የሩሲያ ያልተማከለ የበይነመረብ አቅራቢ ከክፍያ ነጻ.
ሙሉ ስም፡ መካከለኛ የኢንተርኔት አገልግሎት አቅራቢ። መጀመሪያ ላይ ፕሮጀክቱ የተፀነሰው እንደ в .
እ.ኤ.አ. በኤፕሪል 2019 የተቋቋመው ለዋና ተጠቃሚዎች በዋይ ፋይ ገመድ አልባ የውሂብ ማስተላለፊያ ቴክኖሎጂ አማካኝነት የ Yggdrasil አውታረ መረብ ሀብቶችን እንዲያገኙ በማድረግ ገለልተኛ የቴሌኮሙኒኬሽን አከባቢን የመፍጠር አካል ነው።
በርዕሱ ላይ ተጨማሪ መረጃ:
ያልተማከለ የበይነመረብ አቅራቢ "መካከለኛ" ማህበረሰብ አድናቂዎች የራሳቸውን የፍለጋ ሞተር ይፈጥራሉ
መጀመሪያ ላይ በመስመር ላይ ያልተማከለው የኢንተርኔት አገልግሎት አቅራቢው መካከለኛ እንደ ትራንስፖርት የሚጠቀምበት፣ የራሱ የዲኤንኤስ አገልጋይ ወይም የሕዝብ ቁልፍ መሠረተ ልማት አልነበረውም፣ ነገር ግን ለመካከለኛው ኔትወርክ አገልግሎት የደኅንነት ሰርተፍኬት የመስጠት አስፈላጊነት እነዚህን ሁለት ችግሮች ቀርፏል።
Yggdrasil ከሳጥኑ ውጭ በእኩዮች መካከል ያለውን ትራፊክ የማመስጠር ችሎታ የሚሰጥ ከሆነ ለምን PKI ያስፈልግዎታል?በYggdrasil አውታረመረብ ላይ ከድር አገልግሎቶች ጋር ለመገናኘት HTTPS መጠቀም አያስፈልግም ከነሱ ጋር በአገር ውስጥ በሚያሄድ የYggdrasil አውታረ መረብ ራውተር በኩል ከተገናኙ።
በእርግጥ፡ Yggdrasil ትራንስፖርት እኩል ነው። በ Yggdrasil አውታረመረብ ውስጥ ሀብቶችን በደህና እንዲጠቀሙ ይፈቅድልዎታል - የመምራት ችሎታ ሙሉ በሙሉ የተገለሉ.
የYggdarsil's intranet መርጃዎችን በቀጥታ ሳይሆን በመካከለኛው መስቀለኛ መንገድ - በኦፕሬተሩ የሚተዳደረው መካከለኛ የአውታረ መረብ መዳረሻ ነጥብ ከደረሱ ሁኔታው በከፍተኛ ሁኔታ ይለወጣል።
በዚህ አጋጣሚ፣ እርስዎ የሚያስተላልፉትን ውሂብ ማን ሊያበላሽ ይችላል፡-
- የመዳረሻ ነጥብ ኦፕሬተር. አሁን ያለው የመካከለኛው የአውታረ መረብ መዳረሻ ነጥብ ኦፕሬተር ያልተመሰጠረ ትራፊክን በመሳሪያዎቹ ውስጥ እንደሚያዳምጥ ግልጽ ነው።
- ሰርጎ ገዳይ (). መካከለኛ ተመሳሳይ ችግር አለበት , ከግቤት እና መካከለኛ አንጓዎች ጋር በተገናኘ ብቻ.
ይህን ይመስላል
ዉሳኔበYggdrasil አውታረመረብ ውስጥ የድር አገልግሎቶችን ለማግኘት HTTPS ፕሮቶኮልን ይጠቀሙ (ደረጃ 7 ). ችግሩ ለYggdrasil አውታረ መረብ አገልግሎቶች እውነተኛ የደኅንነት ሰርተፍኬት በመደበኛ መንገዶች ለምሳሌ መስጠት አለመቻል ነው። .
ስለዚህ የራሳችንን የምስክር ወረቀት ማዕከል አቋቋምን- . አብዛኛዎቹ የመካከለኛው አውታረ መረብ አገልግሎቶች የተፈረሙት በመካከለኛው የምስክር ወረቀት ባለስልጣን "መካከለኛው ጎራ ማረጋገጥ ደህንነቱ የተጠበቀ አገልጋይ CA" የስር ደህንነት የምስክር ወረቀት ነው።
የማረጋገጫ ባለስልጣን ስርወ ሰርተፍኬትን የመጉዳት እድሉ በእርግጥ ግምት ውስጥ ገብቷል - ግን እዚህ የምስክር ወረቀቱ የመረጃ ስርጭትን ትክክለኛነት ለማረጋገጥ እና የ MITM ጥቃቶችን ለማስወገድ የበለጠ አስፈላጊ ነው ።
ከተለያዩ ኦፕሬተሮች መካከለኛ አውታረ መረብ አገልግሎቶች የተለያዩ የደህንነት የምስክር ወረቀቶች አሏቸው ፣ አንድ መንገድ ወይም ሌላ በስር የምስክር ወረቀት ባለስልጣን የተፈረመ። ሆኖም የRoot CA ኦፕሬተሮች የደህንነት ምስክር ወረቀቶችን ከፈረሙባቸው አገልግሎቶች የተመሰጠረውን ትራፊክ ማዳመጥ አይችሉም (ተመልከት) ).
በተለይ ስለ ደህንነታቸው የሚጨነቁ ሰዎች እንደ ተጨማሪ መከላከያ መጠቀም ይችላሉ и .
በአሁኑ ጊዜ የመካከለኛው ኔትወርክ የህዝብ ቁልፍ መሠረተ ልማት ፕሮቶኮሉን በመጠቀም የምስክር ወረቀት ሁኔታን የመፈተሽ ችሎታ አለው ወይም በአጠቃቀም .
ወደ ነጥቡ ግባ
ተጠቃሚው በYggdrasil አውታረመረብ ላይ ለድር አገልግሎቶች የፍለጋ ሞተር ማዘጋጀት ጀመረ። አስፈላጊው ገጽታ ፍለጋ በሚደረግበት ጊዜ የ IPv6 አድራሻዎችን መወሰን በመካከለኛው አውታረመረብ ውስጥ ወደሚገኝ የዲ ኤን ኤስ አገልጋይ ጥያቄ በመላክ መከናወኑ ነው።
ዋናው TLD ነው .ygg. አብዛኛዎቹ የጎራ ስሞች ይህ TLD አላቸው፣ ከሁለት በስተቀር፡ .ኢሰፕ и .gg.
የፍለጋ ፕሮግራሙ በመገንባት ላይ ነው, ግን አጠቃቀሙ ዛሬ ይቻላል - ድህረ ገጹን ብቻ ይጎብኙ .
የፕሮጀክቱን እድገት መርዳት ይችላሉ, .
መካከለኛ መካከለኛ ግሎባል ሥር CA አዲስ የምስክር ወረቀት ባለስልጣን አቋቁሟል። በለውጦቹ የሚነኩት እነማን ናቸው?
በትናንትናው እለት የመካከለኛው ሩት CA ማረጋገጫ ማእከል ተግባራዊነት ይፋዊ ሙከራ ተጠናቀቀ። በሙከራው ማብቂያ ላይ በሕዝብ ቁልፍ የመሠረተ ልማት አገልግሎቶች አሠራር ላይ ስህተቶች ተስተካክለው እና የምስክር ወረቀት ባለስልጣን "መካከለኛ ግሎባል ሩት CA" አዲስ የምስክር ወረቀት ተፈጥሯል.
ሁሉም የPKI ልዩነቶች እና ባህሪያት ግምት ውስጥ ገብተዋል - አሁን አዲሱ የCA ሰርቲፊኬት “መካከለኛው ግሎባል ሥር CA” የሚሰጠው ከአሥር ዓመታት በኋላ ብቻ ነው (የሚያበቃበት ቀን በኋላ)። አሁን የደህንነት ሰርተፊኬቶች የሚሰጡት በመካከለኛ የምስክር ወረቀት ባለስልጣኖች ብቻ ነው - ለምሳሌ "መካከለኛ ዶሜይን ማረጋገጥ ደህንነቱ የተጠበቀ አገልጋይ CA"።
የምስክር ወረቀት እምነት ሰንሰለት አሁን ምን ይመስላል?
ተጠቃሚ ከሆንክ ሁሉም ነገር እንዲሰራ ምን መደረግ አለበት፡-
አንዳንድ አገልግሎቶች HSTSን ስለሚጠቀሙ መካከለኛ የአውታረ መረብ ግብዓቶችን ከመጠቀምዎ በፊት ከመካከለኛ የኢንተርኔት ሃብቶች መረጃን መሰረዝ አለብዎት። ይህንን በአሳሽዎ የታሪክ ትር ውስጥ ማድረግ ይችላሉ።
በተጨማሪም አስፈላጊ ነው የምስክር ወረቀት ማዕከል "መካከለኛ ግሎባል ሥር CA".
የስርዓት ኦፕሬተር ከሆንክ ሁሉም ነገር እንዲሰራ ምን መደረግ አለበት፡-
በገጹ ላይ ለአገልግሎትዎ የምስክር ወረቀቱን እንደገና መስጠት አለብዎት (አገልግሎቱ የሚገኘው በመካከለኛው አውታረመረብ ላይ ብቻ ነው).
የደህንነት የምስክር ወረቀቶች ለእያንዳንዱ ቤት - በYggdrasil አውታረመረብ ላይ የራስዎን አገልግሎት እንዴት መፍጠር እንደሚችሉ እና ለእሱ ትክክለኛ የሆነ የኤስኤስኤል ሰርተፍኬት እንደሚሰጡ
በመካከለኛው አውታረመረብ ላይ ባለው የኢንተርኔት አገልግሎት ብዛት እድገት ምክንያት አዲስ የደህንነት የምስክር ወረቀቶችን የመስጠት እና አገልግሎቶቻቸውን SSL እንዲደግፉ የማዋቀር አስፈላጊነት ጨምሯል።
ሀብር የቴክኒካል ግብአት በመሆኑ በእያንዳንዱ አዲስ መፈጨት ከአጀንዳዎቹ አንዱ የመካከለኛው ኔትወርክ መሠረተ ልማት ቴክኒካዊ ባህሪያትን ያሳያል። ለምሳሌ፣ ከዚህ በታች ለአገልግሎትዎ SSL ሰርተፍኬት ለማውጣት አጠቃላይ መመሪያዎች አሉ።
ምሳሌዎቹ የጎራውን ስም ያመለክታሉ domain.ygg, ይህም በአገልግሎትዎ የጎራ ስም መተካት አለበት.
1 ደረጃ. የግል ቁልፍ እና Diffie-Hellman መለኪያዎችን ይፍጠሩ
openssl genrsa -out domain.ygg.key 2048ከዚያ:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482 ደረጃ. የምስክር ወረቀት ፊርማ ጥያቄ ይፍጠሩ
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confይዘቶችን ፋይል ያድርጉ domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 ደረጃ. የምስክር ወረቀት ጥያቄ ያስገቡ
ይህንን ለማድረግ የፋይሉን ይዘት ይቅዱ domain.ygg.csr እና በጣቢያው ላይ ባለው የጽሑፍ መስክ ላይ ይለጥፉ .
በድረ-ገጹ ላይ የተሰጡትን መመሪያዎች ይከተሉ, ከዚያም "አስገባ" ን ጠቅ ያድርጉ. ከተሳካ፣ በመካከለኛ የማረጋገጫ ባለስልጣን በተፈረመ የምስክር ወረቀት መልክ አባሪ የያዘ መልዕክት ወደ ገለጹት የኢሜይል አድራሻ ይላካል።
4 ደረጃ. የድር አገልጋይዎን ያዋቅሩ
nginxን እንደ የድር አገልጋይዎ እየተጠቀሙ ከሆነ የሚከተለውን ውቅር ይጠቀሙ፡
ፋይል domain.ygg.conf በማውጫው ውስጥ /ወዘተ/nginx/ጣቢያዎች ይገኛሉ/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
ፋይል ssl-params.conf በማውጫው ውስጥ /ወዘተ/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ፋይል domain.ygg.conf በማውጫው ውስጥ /ወዘተ/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
በኢሜል የተቀበሉት የምስክር ወረቀት ወደሚከተለው መቅዳት አለበት፡- /ወዘተ/ssl/certs/domain.ygg.crt. የግል ቁልፍ (domain.ygg.ቁልፍ) በማውጫ ውስጥ ያስቀምጡት /ወዘተ/ssl/የግል/.
5 ደረጃ. የድር አገልጋይዎን እንደገና ያስጀምሩ
sudo service nginx restartበሩሲያ ውስጥ ነፃ በይነመረብ ከእርስዎ ጋር ይጀምራል
ዛሬ በሩሲያ ውስጥ ነፃ በይነመረብ ለመመስረት የሚችሉትን ሁሉ እርዳታ መስጠት ይችላሉ። ኔትወርክን እንዴት መርዳት እንደሚችሉ አጠቃላይ ዝርዝር አዘጋጅተናል፡-
- ስለ መካከለኛው አውታረ መረብ ለጓደኞችዎ እና ለስራ ባልደረቦችዎ ይንገሩ። አጋራ ወደዚህ ጽሑፍ በማህበራዊ አውታረ መረቦች ወይም በግል ብሎግ
- በመካከለኛው አውታረመረብ ላይ በቴክኒካዊ ጉዳዮች ውይይት ውስጥ ይሳተፉ
- የድር አገልግሎትዎን በYggdrasil አውታረ መረብ ላይ ይፍጠሩ እና ያክሉት።
- የእርስዎን ከፍ ያድርጉ ወደ መካከለኛው አውታረመረብ
የቀደሙት እትሞች፡-
በተጨማሪ አንብበው:
በቴሌግራም ውስጥ ነን፡-
በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። እባክህን።
አማራጭ ድምጽ መስጠት፡ በሀቤሬ ላይ ሙሉ መለያ የሌላቸውን ሰዎች አስተያየት ማወቅ ለእኛ አስፈላጊ ነው።
-
↑
-
↓
7 ተጠቃሚዎች ድምጽ ሰጥተዋል። 2 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።
ምንጭ: hab.com