Мы ўвесь час чуем фразу «нацыянальная бяспека», але калі дзяржава пачынае сачыць за нашымі зносінамі, фіксуючы яго без важкіх падазрэнняў, юрыдычнай падставы і без якой-небудзь бачнай мэты, мы павінны задаць сабе пытанне: яны і на самой справе абараняюць нацыянальную бяспеку ці яны абараняюць сваю ўласную?
- Эдвард Сноўдэн
Дадзены дайджэст закліканы павысіць цікавасць Супольнасці да праблемы прыватнасці, якая ў святле становіцца як ніколі раней актуальнай.
На парадку дня:
Энтузіясты суполкі дэцэнтралізаванага інтэрнэт-правайдэра «Medium» ствараюць уласны пошукавы рухавічок
"Medium" заснаваў новы які сведчыць цэнтр "Medium Global Root CA". Каго закрануць змены?
Сертыфікаты бяспекі ў кожны дом - як стварыць свой сэрвіс у сетцы Yggdrasil і выпусціць для яго валідны SSL-сертыфікат
Нагадайце мне - што такое "Medium"?
серада (Па-ангельску серада - «пасярэднік», арыгінальны слоган - Памятаеце, што ваша прывабасць. Take it back; таксама ў англійскай слова серада значыць «прамежкавы») - расійскі дэцэнтралізаваны інтэрнэт-правайдэр, які прадстаўляе паслугі доступу да сеткі на бязвыплатнай аснове.
Поўнае найменне - Medium Internet Service Provider. Першапачаткова праект задумваўся як в .
Утвораны ў красавіку 2019 года ў рамках стварэння незалежнага тэлекамунікацыйнага асяроддзя шляхам прадастаўлення канчатковым карыстальнікам доступу да рэсурсаў сеткі Yggdrasil праз выкарыстанне тэхналогіі бесправадной перадачы даных Wi-Fi.
Больш інфармацыі па тэме:
Энтузіясты суполкі дэцэнтралізаванага інтэрнэт-правайдэра «Medium» ствараюць уласны пошукавы рухавічок
Першапачаткова ў сетцы , якую дэцэнтралізаваны інтэрнэт-правайдэр "Medium" выкарыстоўвае ў якасці транспарту, не было ні свайго DNS-сервера, ні інфраструктуры адкрытых ключоў – аднак патрэба ў выпуску сертыфікатаў бяспекі для сэрвісаў сеткі "Medium" вырашыла гэтыя дзве праблемы.
Навошта патрэбен PKI, калі Yggdrasil «са скрынкі» дае магчымасць шыфравання трафіку паміж банкетамі?Няма ніякай неабходнасці выкарыстоўваць пратакол HTTPS для злучэння з вэб-сэрвісамі ў сетцы Yggdrasil, калі вы падлучаецеся да іх праз лакальна які працуе роўтар сеткі Yggdrasil.
Сапраўды: транспарт Yggdrasil на ўзроўні дазваляе бяспечна выкарыстоўваць рэсурсы ўнутры сеткі Yggdrasil - магчымасць правядзення цалкам выключана.
Сітуацыя ў корані змяняецца, калі вы атрымліваеце доступ да ўнутрысеткавых рэсурсаў Yggdarsil не напрамую, а праз прамежкавы вузел – кропку доступу сеткі "Medium", якую адмініструе яе аператар.
Хто ў такім выпадку можа скампраметаваць дадзеныя, якія вы перадаеце:
- Аператар кропкі доступу. Відавочна, што дзейны аператар кропкі доступу сеткі "Medium" можа праслухоўваць незашыфраваны трафік, які праходзіць праз яго абсталяванне.
- Зламыснік (). "Medium" мае праблему, падобную з , толькі ў дачыненні да ўваходных і прамежкавых вузлоў.
Вось так гэтая справа выглядае
рашэнне: для доступу да вэб-сэрвісаў унутры сеткі Yggdrasil выкарыстоўваць пратакол HTTPS (7 ўзровень ). Праблема ў тым, што для сэрвісаў сеткі Yggdrasil немагчыма выпусціць сапраўдны сертыфікат бяспекі звычайнымі сродкамі, такімі як .
Таму мы заснавалі ўласны цэнтр сертыфікацыі. . Пераважная большасць сэрвісаў сеткі "Medium" падпісаны каранёвым сертыфікатам бяспекі прамежкавага цэнтра сертыфікацыі "Medium Domain Validation Secure Server CA".
Магчымасць кампраметацыі каранёвага сертыфіката цэнтра сертыфікацыі, безумоўна, была прынята да ўвагі – але тут сертыфікат больш неабходзен для пацверджання цэласнасці пры перадачы дадзеных і выключэнні магчымасці правядзення MITM-нападаў.
Сэрвісы сеткі "Medium" ад розных аператараў маюць розныя сертыфікаты бяспекі, так ці інакш падпісаныя каранёвым які сведчыць цэнтрам. Аднак аператары каранёвага які сведчыць цэнтра не маюць магчымасці праслухоўваць зашыфраваны трафік сэрвісаў, якім яны падпісалі сертыфікаты бяспекі (гл. ).
Тыя, хто асабліва клапоціцца аб сваёй бяспецы, могуць выкарыстоўваць у якасці дадатковай абароны такія сродкі, як и .
У дадзены момант інфраструктура адкрытых ключоў сеткі "Medium" мае магчымасць праверкі статусу сертыфіката па пратаколе. або з дапамогай выкарыстання .
Бліжэй да справы
Карыстальнік пачаў распрацоўку пошукавага рухавічка для вэб-сэрвісаў, размешчаных у сетцы Yggdrasil. Важным аспектам з'яўляецца той факт, што вызначэнне IPv6-адрасоў сэрвісаў пры правядзенні пошуку ажыццяўляецца шляхам накіравання запыту на DNS-сервер, размешчаны ўнутры сеткі "Medium".
Асноўным TLD з'яўляецца .ygg. Большасць даменных імёнаў валодаюць гэтым TLD, за выключэннем двух: .isp и .gg.
Пошукавы рухавічок знаходзіцца ў стадыі распрацоўкі, але яго выкарыстанне ўжо магчыма сёння – дастаткова наведаць вэб-сайт .
Вы можаце дапамагчы развіццю праекта, .
"Medium" заснаваў новы які сведчыць цэнтр "Medium Global Root CA". Каго закрануць змены?
Учора завяршылася публічнае тэставанне функцыяналу які сведчыць цэнтра "Medium Root CA". Па канчатку тэставання былі выпраўленыя памылкі ў працы сэрвісаў інфраструктуры адчыненых ключоў і было выраблена стварэнне новага каранёвага сертыфіката які сведчыць цэнтра "Medium Global Root CA".
Былі ўлічаны ўсе нюансы і асаблівасці PKI – зараз новы сертыфікат УЦ "Medium Global Root CA" будзе выпушчаны толькі праз дзесяць гадоў (па заканчэнні яго тэрміну дзеяння). Цяпер сертыфікаты бяспекі выдаюцца толькі прамежкавымі сертыфікацыйнымі цэнтрамі – напрыклад, "Medium Domain Validation Secure Server CA".
Як зараз выглядае ланцужок даверу сертыфікатаў?
Што неабходна зрабіць, каб усё зарабіла, калі вы - карыстальнік:
Бо некаторыя сэрвісы выкарыстоўваюць HSTS, перад пачаткам выкарыстання рэсурсаў сеткі "Medium" неабходна выдаліць дадзеныя ўнутрысеткавых рэсурсаў "Medium". Зрабіць гэта можна на ўкладцы "Гісторыя" вашага браўзэра.
Таксама неабходна які сведчыць цэнтра "Medium Global Root CA".
Што неабходна зрабіць, каб усё зарабіла, калі вы - сістэмны аператар:
Вам неабходна перавыпусціць сертыфікат для вашага сэрвісу на старонцы (сэрвіс даступны толькі ў сетцы «Medium»).
Сертыфікаты бяспекі ў кожны дом - як стварыць свой сэрвіс у сетцы Yggdrasil і выпусціць для яго валідны SSL-сертыфікат
У сувязі з ростам колькасці ўнутрысеткавых сэрвісаў сеткі "Medium" узрасла патрэбнасць у выпуску новых сертыфікатаў бяспекі і настройка сваіх сэрвісаў такім чынам, каб яны падтрымлівалі SSL.
Так як Хабр з'яўляецца тэхнічным рэсурсам, у кожным новым дайджэсце адзін з пунктаў парадку дня будзе раскрываць тэхнічныя асаблівасці інфраструктуры сеткі "Medium". Напрыклад, ніжэй прадстаўлена вычарпальная інструкцыя па выпуску SSL-сертыфіката для свайго сэрвісу.
У прыкладах будзе ўказвацца даменнае імя domain.ygg, якое неабходна замяніць на даменнае імя вашага сэрвісу.
Крок 1. Згенеруйце прыватны ключ і параметры Дыфі-Хеллмана
openssl genrsa -out domain.ygg.key 2048Затым:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Крок 2. Стварыце запыт на подпіс сертыфіката
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confЗмесціва файла domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Крок 3. Дашліце запыт на атрыманне сертыфіката
Для гэтага скапіюйце змесціва файла domain.ygg.csr і ўстаўце яго ў тэкставае поле на сайце .
Выконвайце інструкцыі, указаныя на сайце, затым націсніце "Даслаць". На паказаны вамі адрас электроннай пошты ў выпадку поспеху прыйдзе паведамленне, якое змяшчае ў сабе ўкладанне ў выглядзе падпісанага прамежкавым сведчаннем цэнтрам сертыфіката.
Крок 4. Наладзьце ваш вэб-сервер
Калі вы выкарыстоўваеце nginx у якасці вэб-сервера, выкарыстоўвайце наступную канфігурацыю:
файл domain.ygg.conf у дырэкторыі /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
файл ssl-params.conf у дырэкторыі /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
файл domain.ygg.conf у дырэкторыі /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертыфікат, атрыманы вамі па электроннай пошце, неабходна скапіяваць па адрасе /etc/ssl/certs/domain.ygg.crt. Прыватны ключ (domain.ygg.key) змясціце ў дырэкторыю /etc/ssl/private/.
Крок 5. Перазапусціце ваш вэб-сервер
sudo service nginx restartСвабодны Інтэрнэт у Расіі пачынаецца з Вас
Вы можаце аказаць пасільную дапамогу станаўленню вольнага Інтэрнэту ў Расіі ўжо сёння. Мы склалі вычарпальны пералік таго, чым менавіта вы можаце дапамагчы сеткі:
- Раскажыце аб сетцы «Medium» сваім сябрам і калегам. Падзяліцеся на гэты артыкул у сацыяльных сетках або персанальным блогу
- Прыміце ўдзел у абмеркаванні тэхнічных пытанняў сеткі "Medium"
- Стварыце свой вэб-сэрвіс у сетцы Yggdrasil і дадайце яго ў
- Падніміце сваю да сеткі "Medium"
Папярэднія выпускі:
Чытайце таксама:
Мы ў Telegram:
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
Альтэрнатыўнае галасаванне: нам важна ведаць меркаванне тых, хто не мае паўнапраўнага акаўнта на Хабры
-
↑
-
↓
Прагаласавалі 7 карыстальнікаў. Устрымаліся 2 карыстальніка.
Крыніца: habr.com