Мы ўвесь час чуем фразу «нацыянальная бяспека», але калі дзяржава пачынае сачыць за нашымі зносінамі, фіксуючы яго без важкіх падазрэнняў, юрыдычнай падставы і без якой-небудзь бачнай мэты, мы павінны задаць сабе пытанне: яны і на самой справе абараняюць нацыянальную бяспеку ці яны абараняюць сваю ўласную?
- Эдвард Сноўдэн
Дадзены дайджэст закліканы павысіць цікавасць Супольнасці да праблемы прыватнасці, якая ў святле апошніх падзей становіцца як ніколі раней актуальнай.
На парадку дня:
Энтузіясты суполкі дэцэнтралізаванага інтэрнэт-правайдэра «Medium» ствараюць уласны пошукавы рухавічок
"Medium" заснаваў новы які сведчыць цэнтр "Medium Global Root CA". Каго закрануць змены?
Сертыфікаты бяспекі ў кожны дом - як стварыць свой сэрвіс у сетцы Yggdrasil і выпусціць для яго валідны SSL-сертыфікат
Нагадайце мне - што такое "Medium"?
серада (Па-ангельску серада - «пасярэднік», арыгінальны слоган - Памятаеце, што ваша прывабасць. Take it back; таксама ў англійскай слова серада значыць «прамежкавы») - расійскі дэцэнтралізаваны інтэрнэт-правайдэр, які прадстаўляе паслугі доступу да сеткі Іггдрасіль на бязвыплатнай аснове.
Утвораны ў красавіку 2019 года ў рамках стварэння незалежнага тэлекамунікацыйнага асяроддзя шляхам прадастаўлення канчатковым карыстальнікам доступу да рэсурсаў сеткі Yggdrasil праз выкарыстанне тэхналогіі бесправадной перадачы даных Wi-Fi.
Першапачаткова ў сетцы Іггдрасіль, якую дэцэнтралізаваны інтэрнэт-правайдэр "Medium" выкарыстоўвае ў якасці транспарту, не было ні свайго DNS-сервера, ні інфраструктуры адкрытых ключоў – аднак патрэба ў выпуску сертыфікатаў бяспекі для сэрвісаў сеткі "Medium" вырашыла гэтыя дзве праблемы.
Навошта патрэбен PKI, калі Yggdrasil «са скрынкі» дае магчымасць шыфравання трафіку паміж банкетамі?Няма ніякай неабходнасці выкарыстоўваць пратакол HTTPS для злучэння з вэб-сэрвісамі ў сетцы Yggdrasil, калі вы падлучаецеся да іх праз лакальна які працуе роўтар сеткі Yggdrasil.
Сапраўды: транспарт Yggdrasil на ўзроўні пратаколу дазваляе бяспечна выкарыстоўваць рэсурсы ўнутры сеткі Yggdrasil - магчымасць правядзення MITM-напады цалкам выключана.
Сітуацыя ў корані змяняецца, калі вы атрымліваеце доступ да ўнутрысеткавых рэсурсаў Yggdarsil не напрамую, а праз прамежкавы вузел – кропку доступу сеткі "Medium", якую адмініструе яе аператар.
Хто ў такім выпадку можа скампраметаваць дадзеныя, якія вы перадаеце:
Аператар кропкі доступу. Відавочна, што дзейны аператар кропкі доступу сеткі "Medium" можа праслухоўваць незашыфраваны трафік, які праходзіць праз яго абсталяванне.
рашэнне: для доступу да вэб-сэрвісаў унутры сеткі Yggdrasil выкарыстоўваць пратакол HTTPS (7 ўзровень мадэлі OSI). Праблема ў тым, што для сэрвісаў сеткі Yggdrasil немагчыма выпусціць сапраўдны сертыфікат бяспекі звычайнымі сродкамі, такімі як давайце Encrypt.
Таму мы заснавалі ўласны цэнтр сертыфікацыі. "Medium Global Root CA". Пераважная большасць сэрвісаў сеткі "Medium" падпісаны каранёвым сертыфікатам бяспекі прамежкавага цэнтра сертыфікацыі "Medium Domain Validation Secure Server CA".
Магчымасць кампраметацыі каранёвага сертыфіката цэнтра сертыфікацыі, безумоўна, была прынята да ўвагі – але тут сертыфікат больш неабходзен для пацверджання цэласнасці пры перадачы дадзеных і выключэнні магчымасці правядзення MITM-нападаў.
Сэрвісы сеткі "Medium" ад розных аператараў маюць розныя сертыфікаты бяспекі, так ці інакш падпісаныя каранёвым які сведчыць цэнтрам. Аднак аператары каранёвага які сведчыць цэнтра не маюць магчымасці праслухоўваць зашыфраваны трафік сэрвісаў, якім яны падпісалі сертыфікаты бяспекі (гл. "Што такое CSR?").
Тыя, хто асабліва клапоціцца аб сваёй бяспецы, могуць выкарыстоўваць у якасці дадатковай абароны такія сродкі, як PGP и падобныя.
У дадзены момант інфраструктура адкрытых ключоў сеткі "Medium" мае магчымасць праверкі статусу сертыфіката па пратаколе. OCSP або з дапамогай выкарыстання CRL.
Бліжэй да справы
Карыстальнік @NXShock пачаў распрацоўку пошукавага рухавічка для вэб-сэрвісаў, размешчаных у сетцы Yggdrasil. Важным аспектам з'яўляецца той факт, што вызначэнне IPv6-адрасоў сэрвісаў пры правядзенні пошуку ажыццяўляецца шляхам накіравання запыту на DNS-сервер, размешчаны ўнутры сеткі "Medium".
Асноўным TLD з'яўляецца .ygg. Большасць даменных імёнаў валодаюць гэтым TLD, за выключэннем двух: .isp и .gg.
Пошукавы рухавічок знаходзіцца ў стадыі распрацоўкі, але яго выкарыстанне ўжо магчыма сёння – дастаткова наведаць вэб-сайт search.medium.isp.
"Medium" заснаваў новы які сведчыць цэнтр "Medium Global Root CA". Каго закрануць змены?
Учора завяршылася публічнае тэставанне функцыяналу які сведчыць цэнтра "Medium Root CA". Па канчатку тэставання былі выпраўленыя памылкі ў працы сэрвісаў інфраструктуры адчыненых ключоў і было выраблена стварэнне новага каранёвага сертыфіката які сведчыць цэнтра "Medium Global Root CA".
Былі ўлічаны ўсе нюансы і асаблівасці PKI – зараз новы сертыфікат УЦ "Medium Global Root CA" будзе выпушчаны толькі праз дзесяць гадоў (па заканчэнні яго тэрміну дзеяння). Цяпер сертыфікаты бяспекі выдаюцца толькі прамежкавымі сертыфікацыйнымі цэнтрамі – напрыклад, "Medium Domain Validation Secure Server CA".
Як зараз выглядае ланцужок даверу сертыфікатаў?
Што неабходна зрабіць, каб усё зарабіла, калі вы - карыстальнік:
Бо некаторыя сэрвісы выкарыстоўваюць HSTS, перад пачаткам выкарыстання рэсурсаў сеткі "Medium" неабходна выдаліць дадзеныя ўнутрысеткавых рэсурсаў "Medium". Зрабіць гэта можна на ўкладцы "Гісторыя" вашага браўзэра.
Што неабходна зрабіць, каб усё зарабіла, калі вы - сістэмны аператар:
Вам неабходна перавыпусціць сертыфікат для вашага сэрвісу на старонцы pki.medium.isp (сэрвіс даступны толькі ў сетцы «Medium»).
Сертыфікаты бяспекі ў кожны дом - як стварыць свой сэрвіс у сетцы Yggdrasil і выпусціць для яго валідны SSL-сертыфікат
У сувязі з ростам колькасці ўнутрысеткавых сэрвісаў сеткі "Medium" узрасла патрэбнасць у выпуску новых сертыфікатаў бяспекі і настройка сваіх сэрвісаў такім чынам, каб яны падтрымлівалі SSL.
Так як Хабр з'яўляецца тэхнічным рэсурсам, у кожным новым дайджэсце адзін з пунктаў парадку дня будзе раскрываць тэхнічныя асаблівасці інфраструктуры сеткі "Medium". Напрыклад, ніжэй прадстаўлена вычарпальная інструкцыя па выпуску SSL-сертыфіката для свайго сэрвісу.
У прыкладах будзе ўказвацца даменнае імя domain.ygg, якое неабходна замяніць на даменнае імя вашага сэрвісу.
Крок 1. Згенеруйце прыватны ключ і параметры Дыфі-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Крок 3. Дашліце запыт на атрыманне сертыфіката
Для гэтага скапіюйце змесціва файла domain.ygg.csr і ўстаўце яго ў тэкставае поле на сайце pki.medium.isp.
Выконвайце інструкцыі, указаныя на сайце, затым націсніце "Даслаць". На паказаны вамі адрас электроннай пошты ў выпадку поспеху прыйдзе паведамленне, якое змяшчае ў сабе ўкладанне ў выглядзе падпісанага прамежкавым сведчаннем цэнтрам сертыфіката.
Крок 4. Наладзьце ваш вэб-сервер
Калі вы выкарыстоўваеце nginx у якасці вэб-сервера, выкарыстоўвайце наступную канфігурацыю:
файл domain.ygg.conf у дырэкторыі /etc/nginx/sites-available/
Сертыфікат, атрыманы вамі па электроннай пошце, неабходна скапіяваць па адрасе /etc/ssl/certs/domain.ygg.crt. Прыватны ключ (domain.ygg.key) змясціце ў дырэкторыю /etc/ssl/private/.
Крок 5. Перазапусціце ваш вэб-сервер
sudo service nginx restart
Свабодны Інтэрнэт у Расіі пачынаецца з Вас
Вы можаце аказаць пасільную дапамогу станаўленню вольнага Інтэрнэту ў Расіі ўжо сёння. Мы склалі вычарпальны пералік таго, чым менавіта вы можаце дапамагчы сеткі:
Раскажыце аб сетцы «Medium» сваім сябрам і калегам. Падзяліцеся спасылкай на гэты артыкул у сацыяльных сетках або персанальным блогу
Прыміце ўдзел у абмеркаванні тэхнічных пытанняў сеткі "Medium" на GitHub
Стварыце свой вэб-сэрвіс у сетцы Yggdrasil і дадайце яго ў DNS сеткі "Medium"