ProHoster > بلوق > إدارة > الملخص الأسبوعي المتوسط رقم 5 (9 - 16 أغسطس 2019)
الملخص الأسبوعي المتوسط رقم 5 (9 - 16 أغسطس 2019)
نسمع عبارة "الأمن القومي" طوال الوقت، ولكن عندما تبدأ الحكومة في مراقبة اتصالاتنا، وتسجيلها دون شك ذي مصداقية، ودون أساس قانوني ودون أي غرض واضح، يجب علينا أن نسأل أنفسنا السؤال: هل هم حقاً يحمون الأمن القومي أم لا؟ هل يحمون أنفسهم؟
- إدوارد سنودن
يهدف هذا الملخص إلى زيادة اهتمام المجتمع بمسألة الخصوصية ، والتي في ضوء الأحداث الأخيرة أصبح أكثر أهمية من أي وقت مضى.
ضمن الأجندة:
يقوم المتحمسون من مجتمع مزود الإنترنت اللامركزي "Medium" بإنشاء محرك بحث خاص بهم
قامت شركة Medium بإنشاء مرجع مصدق جديد، وهو Medium Global Root CA. من سيتأثر بالتغييرات؟
شهادات الأمان لكل منزل - كيفية إنشاء الخدمة الخاصة بك على شبكة Yggdrasil وإصدار شهادة SSL صالحة لها
ذكرني - ما هو "متوسط"؟
متوسط (العربية متوسط - "وسيط" ، الشعار الأصلي - لا تطلب خصوصيتك. استعيدها؛ أيضا في الكلمة الإنجليزية متوسط تعني "وسيط") - مزود إنترنت روسي لامركزي يوفر خدمات الوصول إلى الشبكة اغدراسيل شحن مجاني.
تم تشكيلها في أبريل 2019 كجزء من إنشاء بيئة اتصالات مستقلة من خلال تزويد المستخدمين النهائيين بإمكانية الوصول إلى موارد شبكة Yggdrasil من خلال استخدام تقنية نقل البيانات اللاسلكية Wi-Fi.
يقوم المتحمسون من مجتمع مزود الإنترنت اللامركزي "Medium" بإنشاء محرك بحث خاص بهم
أصلا على الانترنت اغدراسيل، الذي يستخدمه مزود خدمة الإنترنت اللامركزي Medium كوسيلة نقل، لم يكن لديه خادم DNS خاص به أو بنية تحتية للمفتاح العام - ومع ذلك، فإن الحاجة إلى إصدار شهادات أمان لخدمات الشبكة المتوسطة حلت هاتين المشكلتين.
لماذا تحتاج إلى PKI إذا كان Yggdrasil خارج الصندوق يوفر القدرة على تشفير حركة المرور بين أقرانه؟ليست هناك حاجة لاستخدام HTTPS للاتصال بخدمات الويب على شبكة Yggdrasil إذا قمت بالاتصال بها من خلال جهاز توجيه شبكة Yggdrasil الذي يعمل محليًا.
في الواقع: النقل يغدراسيل على قدم المساواة بروتوكول يسمح لك باستخدام الموارد بأمان داخل شبكة Yggdrasil - القدرة على التصرف هجمات MITM مستبعدة تماما.
يتغير الوضع بشكل جذري إذا قمت بالوصول إلى موارد إنترانت Yggdarsil ليس بشكل مباشر، ولكن من خلال عقدة وسيطة - نقطة الوصول إلى الشبكة المتوسطة، والتي يديرها مشغلها.
في هذه الحالة، من يمكنه اختراق البيانات التي ترسلها:
مشغل نقطة الوصول. من الواضح أن المشغل الحالي لنقطة الوصول إلى الشبكة المتوسطة يمكنه التنصت على حركة المرور غير المشفرة التي تمر عبر أجهزته.
حل: للوصول إلى خدمات الويب داخل شبكة Yggdrasil، استخدم بروتوكول HTTPS (المستوى 7 نماذج OSI). تكمن المشكلة في أنه لا يمكن إصدار شهادة أمان حقيقية لخدمات شبكة Yggdrasil من خلال الوسائل العادية مثل دعونا تشفير.
ولذلك، أنشأنا مركز الاعتماد الخاص بنا - "CA الجذر العالمي المتوسط". يتم توقيع الغالبية العظمى من الخدمات في الشبكة المتوسطة بواسطة شهادة الأمان الجذرية لمرجع التصديق المتوسط Medium Domain Validation Secure Server CA.
تم بالطبع أخذ إمكانية المساس بالشهادة الجذرية للمرجع المصدق في الاعتبار - ولكن الشهادة هنا ضرورية أكثر لتأكيد سلامة نقل البيانات والقضاء على احتمالية هجمات MITM.
تتمتع خدمات الشبكة المتوسطة المقدمة من مشغلين مختلفين بشهادات أمان مختلفة، موقعة بطريقة أو بأخرى من قبل المرجع المصدق الجذر. ومع ذلك، لا يستطيع مشغلو Root CA التنصت على حركة المرور المشفرة من الخدمات التي وقعوا عليها شهادات الأمان (راجع "ما هي المسؤولية الاجتماعية للشركات؟").
يمكن لأولئك الذين يهتمون بشكل خاص بسلامتهم استخدام وسائل مثل الحماية الإضافية، مثل PGP и مماثل.
حاليًا، تتمتع البنية التحتية للمفتاح العام للشبكة المتوسطة بالقدرة على التحقق من حالة الشهادة باستخدام البروتوكول OCSP أو من خلال الاستخدام CRL.
أوضح ماذا تقصد
مستخدم @NXShock بدأت في تطوير محرك بحث لخدمات الويب الموجودة على شبكة Yggdrasil. أحد الجوانب المهمة هو حقيقة أن تحديد عناوين IPv6 للخدمات عند إجراء البحث يتم عن طريق إرسال طلب إلى خادم DNS الموجود داخل الشبكة المتوسطة.
TLD الرئيسي هو .ygg. تحتوي معظم أسماء النطاقات على TLD هذا، مع استثناءين: .ISP и .gg.
محرك البحث قيد التطوير، ولكن استخدامه ممكن بالفعل اليوم - ما عليك سوى زيارة الموقع search.medium.isp.
قامت شركة Medium بإنشاء مرجع مصدق جديد، وهو Medium Global Root CA. من سيتأثر بالتغييرات؟
بالأمس، تم الانتهاء من الاختبار العام لوظيفة مركز شهادات Medium Root CA. في نهاية الاختبار، تم تصحيح الأخطاء في تشغيل خدمات البنية التحتية للمفتاح العام وتم إنشاء شهادة جذر جديدة لهيئة التصديق "Medium Global Root CA".
تم أخذ جميع الفروق الدقيقة وميزات PKI في الاعتبار - الآن سيتم إصدار شهادة CA الجديدة "Medium Global Root CA" بعد عشر سنوات فقط (بعد تاريخ انتهاء صلاحيتها). يتم الآن إصدار شهادات الأمان فقط من خلال هيئات التصديق المتوسطة - على سبيل المثال، "Medium Domain Validation Secure Server CA".
كيف تبدو سلسلة الثقة بالشهادة الآن؟
ما يجب القيام به حتى يعمل كل شيء إذا كنت مستخدمًا:
نظرًا لأن بعض الخدمات تستخدم HSTS، قبل استخدام موارد الشبكة المتوسطة، يجب عليك حذف البيانات من موارد إنترانت المتوسطة. يمكنك القيام بذلك في علامة التبويب "السجل" في متصفحك.
إنه ضروري أيضًا تثبيت شهادة جديدة مركز الشهادات "Medium Global Root CA".
ما يجب القيام به لجعل كل شيء يعمل إذا كنت مشغل النظام:
تحتاج إلى إعادة إصدار الشهادة لخدمتك على الصفحة pki.medium.isp (الخدمة متاحة فقط على الشبكة المتوسطة).
شهادات الأمان لكل منزل - كيفية إنشاء الخدمة الخاصة بك على شبكة Yggdrasil وإصدار شهادة SSL صالحة لها
نظرًا للنمو في عدد خدمات الإنترانت على الشبكة المتوسطة، زادت الحاجة إلى إصدار شهادات أمان جديدة وتكوين خدماتها بحيث تدعم SSL.
وبما أن حبر هو مورد تقني، ففي كل ملخص جديد، سيكشف أحد بنود جدول الأعمال عن الميزات التقنية للبنية التحتية للشبكة المتوسطة. على سبيل المثال، فيما يلي تعليمات شاملة لإصدار شهادة SSL لخدمتك.
سوف تشير الأمثلة إلى اسم المجال domain.ygg، والذي يجب استبداله باسم المجال الخاص بخدمتك.
الخطوة 1. قم بإنشاء مفتاح خاص ومعلمات Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
الخطوة 3. تقديم طلب الشهادة
للقيام بذلك، انسخ محتويات الملف domain.ygg.csr والصقه في حقل النص بالموقع pki.medium.isp.
اتبع التعليمات الموجودة على الموقع، ثم اضغط على "إرسال". في حالة النجاح، سيتم إرسال رسالة إلى عنوان البريد الإلكتروني الذي حددته تحتوي على مرفق في شكل شهادة موقعة من مرجع مصدق وسيط.
الخطوة 4. قم بإعداد خادم الويب الخاص بك
إذا كنت تستخدم nginx كخادم الويب الخاص بك، فاستخدم التكوين التالي:
ملف domain.ygg.conf في الدليل /etc/nginx/sites-available/