نسمع عبارة "الأمن القومي" طوال الوقت، ولكن عندما تبدأ الحكومة في مراقبة اتصالاتنا، وتسجيلها دون شك ذي مصداقية، ودون أساس قانوني ودون أي غرض واضح، يجب علينا أن نسأل أنفسنا السؤال: هل هم حقاً يحمون الأمن القومي أم لا؟ هل يحمون أنفسهم؟
- إدوارد سنودن
يهدف هذا الملخص إلى زيادة اهتمام المجتمع بمسألة الخصوصية ، والتي في ضوء أصبح أكثر أهمية من أي وقت مضى.
ضمن الأجندة:
يقوم المتحمسون من مجتمع مزود الإنترنت اللامركزي "Medium" بإنشاء محرك بحث خاص بهم
قامت شركة Medium بإنشاء مرجع مصدق جديد، وهو Medium Global Root CA. من سيتأثر بالتغييرات؟
شهادات الأمان لكل منزل - كيفية إنشاء الخدمة الخاصة بك على شبكة Yggdrasil وإصدار شهادة SSL صالحة لها
ذكرني - ما هو "متوسط"؟
متوسط (العربية متوسط - "وسيط" ، الشعار الأصلي - لا تطلب خصوصيتك. استعيدها؛ أيضا في الكلمة الإنجليزية متوسط تعني "وسيط") - مزود إنترنت روسي لامركزي يوفر خدمات الوصول إلى الشبكة شحن مجاني.
الاسم الكامل هو Medium Internet Service Provider. تم تصميم المشروع في الأصل باسم в .
تم تشكيلها في أبريل 2019 كجزء من إنشاء بيئة اتصالات مستقلة من خلال تزويد المستخدمين النهائيين بإمكانية الوصول إلى موارد شبكة Yggdrasil من خلال استخدام تقنية نقل البيانات اللاسلكية Wi-Fi.
مزيد من المعلومات حول الموضوع:
يقوم المتحمسون من مجتمع مزود الإنترنت اللامركزي "Medium" بإنشاء محرك بحث خاص بهم
أصلا على الانترنت ، الذي يستخدمه مزود خدمة الإنترنت اللامركزي Medium كوسيلة نقل، لم يكن لديه خادم DNS خاص به أو بنية تحتية للمفتاح العام - ومع ذلك، فإن الحاجة إلى إصدار شهادات أمان لخدمات الشبكة المتوسطة حلت هاتين المشكلتين.
لماذا تحتاج إلى PKI إذا كان Yggdrasil خارج الصندوق يوفر القدرة على تشفير حركة المرور بين أقرانه؟ليست هناك حاجة لاستخدام HTTPS للاتصال بخدمات الويب على شبكة Yggdrasil إذا قمت بالاتصال بها من خلال جهاز توجيه شبكة Yggdrasil الذي يعمل محليًا.
في الواقع: النقل يغدراسيل على قدم المساواة يسمح لك باستخدام الموارد بأمان داخل شبكة Yggdrasil - القدرة على التصرف مستبعدة تماما.
يتغير الوضع بشكل جذري إذا قمت بالوصول إلى موارد إنترانت Yggdarsil ليس بشكل مباشر، ولكن من خلال عقدة وسيطة - نقطة الوصول إلى الشبكة المتوسطة، والتي يديرها مشغلها.
في هذه الحالة، من يمكنه اختراق البيانات التي ترسلها:
- مشغل نقطة الوصول. من الواضح أن المشغل الحالي لنقطة الوصول إلى الشبكة المتوسطة يمكنه التنصت على حركة المرور غير المشفرة التي تمر عبر أجهزته.
- مجرم (). المتوسطة لديها مشكلة مماثلة ل ، فقط فيما يتعلق بالإدخال والعقد الوسيطة.
هذا هو ما يبدو عليه الأمر
حل: للوصول إلى خدمات الويب داخل شبكة Yggdrasil، استخدم بروتوكول HTTPS (المستوى 7 ). تكمن المشكلة في أنه لا يمكن إصدار شهادة أمان حقيقية لخدمات شبكة Yggdrasil من خلال الوسائل العادية مثل .
ولذلك، أنشأنا مركز الاعتماد الخاص بنا - . يتم توقيع الغالبية العظمى من الخدمات في الشبكة المتوسطة بواسطة شهادة الأمان الجذرية لمرجع التصديق المتوسط Medium Domain Validation Secure Server CA.
تم بالطبع أخذ إمكانية المساس بالشهادة الجذرية للمرجع المصدق في الاعتبار - ولكن الشهادة هنا ضرورية أكثر لتأكيد سلامة نقل البيانات والقضاء على احتمالية هجمات MITM.
تتمتع خدمات الشبكة المتوسطة المقدمة من مشغلين مختلفين بشهادات أمان مختلفة، موقعة بطريقة أو بأخرى من قبل المرجع المصدق الجذر. ومع ذلك، لا يستطيع مشغلو Root CA التنصت على حركة المرور المشفرة من الخدمات التي وقعوا عليها شهادات الأمان (راجع ).
يمكن لأولئك الذين يهتمون بشكل خاص بسلامتهم استخدام وسائل مثل الحماية الإضافية، مثل и .
حاليًا، تتمتع البنية التحتية للمفتاح العام للشبكة المتوسطة بالقدرة على التحقق من حالة الشهادة باستخدام البروتوكول أو من خلال الاستخدام .
أوضح ماذا تقصد
مستخدم بدأت في تطوير محرك بحث لخدمات الويب الموجودة على شبكة Yggdrasil. أحد الجوانب المهمة هو حقيقة أن تحديد عناوين IPv6 للخدمات عند إجراء البحث يتم عن طريق إرسال طلب إلى خادم DNS الموجود داخل الشبكة المتوسطة.
TLD الرئيسي هو .ygg. تحتوي معظم أسماء النطاقات على TLD هذا، مع استثناءين: .ISP и .gg.
محرك البحث قيد التطوير، ولكن استخدامه ممكن بالفعل اليوم - ما عليك سوى زيارة الموقع .
يمكنك المساعدة في تطوير المشروع، .
قامت شركة Medium بإنشاء مرجع مصدق جديد، وهو Medium Global Root CA. من سيتأثر بالتغييرات؟
بالأمس، تم الانتهاء من الاختبار العام لوظيفة مركز شهادات Medium Root CA. في نهاية الاختبار، تم تصحيح الأخطاء في تشغيل خدمات البنية التحتية للمفتاح العام وتم إنشاء شهادة جذر جديدة لهيئة التصديق "Medium Global Root CA".
تم أخذ جميع الفروق الدقيقة وميزات PKI في الاعتبار - الآن سيتم إصدار شهادة CA الجديدة "Medium Global Root CA" بعد عشر سنوات فقط (بعد تاريخ انتهاء صلاحيتها). يتم الآن إصدار شهادات الأمان فقط من خلال هيئات التصديق المتوسطة - على سبيل المثال، "Medium Domain Validation Secure Server CA".
كيف تبدو سلسلة الثقة بالشهادة الآن؟
ما يجب القيام به حتى يعمل كل شيء إذا كنت مستخدمًا:
نظرًا لأن بعض الخدمات تستخدم HSTS، قبل استخدام موارد الشبكة المتوسطة، يجب عليك حذف البيانات من موارد إنترانت المتوسطة. يمكنك القيام بذلك في علامة التبويب "السجل" في متصفحك.
إنه ضروري أيضًا مركز الشهادات "Medium Global Root CA".
ما يجب القيام به لجعل كل شيء يعمل إذا كنت مشغل النظام:
تحتاج إلى إعادة إصدار الشهادة لخدمتك على الصفحة (الخدمة متاحة فقط على الشبكة المتوسطة).
شهادات الأمان لكل منزل - كيفية إنشاء الخدمة الخاصة بك على شبكة Yggdrasil وإصدار شهادة SSL صالحة لها
نظرًا للنمو في عدد خدمات الإنترانت على الشبكة المتوسطة، زادت الحاجة إلى إصدار شهادات أمان جديدة وتكوين خدماتها بحيث تدعم SSL.
وبما أن حبر هو مورد تقني، ففي كل ملخص جديد، سيكشف أحد بنود جدول الأعمال عن الميزات التقنية للبنية التحتية للشبكة المتوسطة. على سبيل المثال، فيما يلي تعليمات شاملة لإصدار شهادة SSL لخدمتك.
سوف تشير الأمثلة إلى اسم المجال domain.ygg، والذي يجب استبداله باسم المجال الخاص بخدمتك.
الخطوة 1. قم بإنشاء مفتاح خاص ومعلمات Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048ثم:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048الخطوة 2. إنشاء طلب توقيع الشهادة
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confمحتويات الملف domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
الخطوة 3. تقديم طلب الشهادة
للقيام بذلك، انسخ محتويات الملف domain.ygg.csr والصقه في حقل النص بالموقع .
اتبع التعليمات الموجودة على الموقع، ثم اضغط على "إرسال". في حالة النجاح، سيتم إرسال رسالة إلى عنوان البريد الإلكتروني الذي حددته تحتوي على مرفق في شكل شهادة موقعة من مرجع مصدق وسيط.
الخطوة 4. قم بإعداد خادم الويب الخاص بك
إذا كنت تستخدم nginx كخادم الويب الخاص بك، فاستخدم التكوين التالي:
ملف domain.ygg.conf في الدليل /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
ملف ssl-params.conf في الدليل /الخ/نجينكس/مقتطفات/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ملف domain.ygg.conf في الدليل /الخ/نجينكس/مقتطفات/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
يجب نسخ الشهادة التي تلقيتها عبر البريد الإلكتروني إلى: /etc/ssl/certs/domain.ygg.crt. مفتاح سري (domain.ygg.key) وضعه في الدليل / etc / ssl / private /.
الخطوة 5. أعد تشغيل خادم الويب الخاص بك
sudo service nginx restartالإنترنت المجاني في روسيا يبدأ معك
يمكنك تقديم كل المساعدة الممكنة في إنشاء إنترنت مجاني في روسيا اليوم. قمنا بتجميع قائمة شاملة لكيفية مساعدة الشبكة:
- أخبر أصدقاءك وزملائك عن الشبكة المتوسطة. يشارك لهذه المقالة في الشبكات الاجتماعية أو المدونة الشخصية
- شارك في مناقشة القضايا الفنية للشبكة المتوسطة
- أنشئ خدمة الويب الخاصة بك على شبكة Yggdrasil وأضفها إليها
- ارفع للشبكة المتوسطة
الإصدارات السابقة:
انظر أيضا:
نحن على التليجرام:
يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. ، من فضلك.
التصويت البديل: من المهم بالنسبة لنا معرفة رأي أولئك الذين ليس لديهم حساب كامل عن حبري
-
↑
-
↓
صوت 7 مستخدمًا. امتنع 2 مستخدما عن التصويت.
المصدر: www.habr.com