Чуваме фразата „национална сигурност“ през цялото време, но когато правителството започне да наблюдава нашите комуникации, записвайки ги без достоверни подозрения, правно основание и без видима цел, трябва да си зададем въпроса: наистина ли защитават националната сигурност или защитават ли своите?
- Едуард Сноудън
Този сборник има за цел да увеличи интереса на Общността към въпроса за неприкосновеността на личния живот, който в светлината на става по-актуален от всякога.
На дневен ред:
Ентусиастите от общността на децентрализирания интернет доставчик „Медиум” създават собствена търсачка
Medium създаде нов сертифициращ орган, Medium Global Root CA. Кой ще бъде засегнат от промените?
Сертификати за сигурност за всеки дом - как да създадете своя собствена услуга в мрежата Yggdrasil и да издадете валиден SSL сертификат за нея
Напомнете ми - какво е „Среден“?
Среден (На английски Среден - "посредник", оригинален слоган - Не питайте за вашата поверителност. Вземи го обратно; също на английски думата среда означава „междинен“) - руски децентрализиран интернет доставчик, предоставящ услуги за достъп до мрежата безплатно.
Пълно име: среден доставчик на интернет услуги. Първоначално проектът е замислен като в .
Създадена през април 2019 г. като част от създаването на независима телекомуникационна среда чрез предоставяне на крайни потребители на достъп до мрежовите ресурси на Yggdrasil чрез използването на технология за безжично предаване на данни Wi-Fi.
Повече информация по темата:
Ентусиастите от общността на децентрализирания интернет доставчик „Медиум” създават собствена търсачка
Първоначално онлайн , който децентрализираният доставчик на интернет услуги Medium използва като транспорт, не разполагаше със собствен DNS сървър или инфраструктура с публичен ключ - обаче необходимостта от издаване на сертификати за сигурност за мрежови услуги на Medium реши тези два проблема.
Защо имате нужда от PKI, ако Yggdrasil извън кутията предоставя възможност за криптиране на трафик между партньори?Няма нужда да използвате HTTPS за свързване към уеб услуги в мрежата на Yggdrasil, ако се свържете с тях чрез локално работещ мрежов рутер на Yggdrasil.
Наистина: транспортът на Yggdrasil е на ниво ви позволява безопасно да използвате ресурси в рамките на мрежата Yggdrasil - способността за провеждане напълно изключени.
Ситуацията се променя радикално, ако получите достъп до интранет ресурсите на Yggdarsil не директно, а чрез междинен възел - точката за достъп до мрежата Medium, която се администрира от нейния оператор.
В този случай кой може да компрометира данните, които предавате:
- Оператор на точка за достъп. Очевидно е, че настоящият оператор на точката за достъп до мрежата Medium може да подслушва некриптиран трафик, който преминава през неговото оборудване.
- натрапник (). Medium има проблем, подобен на , само по отношение на входни и междинни възли.
Ето как изглежда
Решение: за достъп до уеб услуги в рамките на мрежата Yggdrasil, използвайте HTTPS протокола (ниво 7 ). Проблемът е, че не е възможно да се издаде истински сертификат за сигурност за мрежовите услуги на Yggdrasil чрез нормални средства като .
Затова създадохме собствен сертификационен център - . По-голямата част от услугите в мрежата Medium са подписани от основния сертификат за сигурност на междинния сертифициращ орган Medium Domain Validation Secure Server CA.
Възможността за компрометиране на основния сертификат на сертифициращия орган, разбира се, беше взета под внимание - но тук сертификатът е по-необходим, за да потвърди целостта на предаването на данни и да елиминира възможността от MITM атаки.
Средните мрежови услуги от различни оператори имат различни сертификати за сигурност, по един или друг начин подписани от основния сертифициращ орган. Операторите на Root CA обаче не могат да подслушват криптиран трафик от услуги, към които са подписали сертификати за сигурност (вж. ).
Тези, които са особено загрижени за своята безопасност, могат да използват такива средства като допълнителна защита, като напр и .
Понастоящем инфраструктурата на публичния ключ на мрежата Medium има способността да проверява състоянието на сертификат с помощта на протокола или чрез използване .
По-близо до точката
Потребител започна разработването на търсачка за уеб услуги, разположени в мрежата Yggdrasil. Важен аспект е фактът, че определянето на IPv6 адреси на услуги при извършване на търсене се извършва чрез изпращане на заявка до DNS сървър, разположен в мрежата Medium.
Основният TLD е .ygg. Повечето имена на домейни имат този TLD, с две изключения: .интернет доставчик и .gg.
Търсачката е в процес на разработка, но използването й е възможно още днес – просто посетете уебсайта .
Можете да помогнете за развитието на проекта, .
Medium създаде нов сертифициращ орган, Medium Global Root CA. Кой ще бъде засегнат от промените?
Вчера приключи публичното тестване на функционалността на центъра за сертифициране Medium Root CA. В края на тестването бяха коригирани грешки в работата на инфраструктурни услуги с публичен ключ и беше създаден нов основен сертификат на сертифициращия орган „Medium Global Root CA“.
Бяха взети предвид всички нюанси и характеристики на PKI - сега новият CA сертификат „Medium Global Root CA“ ще бъде издаден само десет години по-късно (след датата на изтичане). Сега сертификатите за сигурност се издават само от междинни сертифициращи органи - например „Средно валидиране на защитен сървър CA“.
Как изглежда веригата за доверие на сертификати сега?
Какво трябва да се направи, за да работи всичко, ако сте потребител:
Тъй като някои услуги използват HSTS, преди да използвате средни мрежови ресурси, трябва да изтриете данни от средни интранет ресурси. Можете да направите това в раздела История на вашия браузър.
Също така е необходимо сертификационен център "Medium Global Root CA".
Какво трябва да направите, за да работи всичко, ако сте системен оператор:
Трябва да преиздадете сертификата за вашата услуга на страницата (услугата е достъпна само в мрежата Medium).
Сертификати за сигурност за всеки дом - как да създадете своя собствена услуга в мрежата Yggdrasil и да издадете валиден SSL сертификат за нея
Поради нарастването на броя на интранет услугите в мрежата Medium се увеличи необходимостта от издаване на нови сертификати за сигурност и конфигуриране на техните услуги, така че да поддържат SSL.
Тъй като Habr е технически ресурс, във всеки нов дайджест една от точките от дневния ред ще разкрие техническите характеристики на средната мрежова инфраструктура. Например, по-долу са изчерпателни инструкции за издаване на SSL сертификат за вашата услуга.
Примерите ще посочат името на домейна домейн.ygg, което трябва да бъде заменено с името на домейна на вашата услуга.
Стъпка 1. Генерирайте частен ключ и параметри на Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048след това:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Стъпка 2. Създайте заявка за подписване на сертификат
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confСъдържанието на файла домейн.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Стъпка 3. Изпратете заявка за сертификат
За да направите това, копирайте съдържанието на файла домейн.ygg.csr и го поставете в текстовото поле на сайта .
Следвайте инструкциите, предоставени на уебсайта, след което щракнете върху „Изпращане“. При успех ще бъде изпратено съобщение до посочения от вас имейл адрес, съдържащо прикачен файл под формата на сертификат, подписан от междинен сертифициращ орган.
Стъпка 4. Настройте вашия уеб сървър
Ако използвате nginx като уеб сървър, използвайте следната конфигурация:
досие домейн.ygg.conf в указателя /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
досие ssl-params.conf в указателя /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
досие домейн.ygg.conf в указателя /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификатът, който сте получили по имейл, трябва да бъде копиран на: /etc/ssl/certs/domain.ygg.crt. Личен ключ (домейн.ygg.key) го поставете в директория /etc/ssl/private/.
Стъпка 5. Рестартирайте вашия уеб сървър
sudo service nginx restartБезплатният интернет в Русия започва с вас
Можете да окажете цялата възможна помощ за създаване на безплатен интернет в Русия днес. Съставихме изчерпателен списък за това как можете да помогнете на мрежата:
- Разкажете на вашите приятели и колеги за мрежата Medium. Дял към тази статия в социалните мрежи или личен блог
- Участвайте в обсъждането на технически въпроси в мрежата Medium
- Създайте своя уеб услуга в мрежата Yggdrasil и я добавете към
- Вдигни си към мрежата Medium
Предишни версии:
Вижте също:
Ние от Telegram:
В анкетата могат да участват само регистрирани потребители. , Моля те.
Алтернативно гласуване: за нас е важно да знаем мнението на тези, които нямат пълен акаунт в Хабре
-
↑
-
↓
7 потребители гласуваха. 2 потребители се въздържаха.
Източник: www.habr.com