Среден седмичен сборник #5 (9 – 16 август 2019 г.)
Чуваме фразата „национална сигурност“ през цялото време, но когато правителството започне да наблюдава нашите комуникации, записвайки ги без достоверни подозрения, правно основание и без видима цел, трябва да си зададем въпроса: наистина ли защитават националната сигурност или защитават ли своите?
- Едуард Сноудън
Този сборник има за цел да увеличи интереса на Общността към въпроса за неприкосновеността на личния живот, който в светлината на най-новите събития става по-актуален от всякога.
На дневен ред:
Ентусиастите от общността на децентрализирания интернет доставчик „Медиум” създават собствена търсачка
Medium създаде нов сертифициращ орган, Medium Global Root CA. Кой ще бъде засегнат от промените?
Сертификати за сигурност за всеки дом - как да създадете своя собствена услуга в мрежата Yggdrasil и да издадете валиден SSL сертификат за нея
Напомнете ми - какво е „Среден“?
Среден (На английски Среден - "посредник", оригинален слоган - Не питайте за вашата поверителност. Вземи го обратно; също на английски думата среда означава „междинен“) - руски децентрализиран интернет доставчик, предоставящ услуги за достъп до мрежата Yggdrasil безплатно.
Създадена през април 2019 г. като част от създаването на независима телекомуникационна среда чрез предоставяне на крайни потребители на достъп до мрежовите ресурси на Yggdrasil чрез използването на технология за безжично предаване на данни Wi-Fi.
Ентусиастите от общността на децентрализирания интернет доставчик „Медиум” създават собствена търсачка
Първоначално онлайн Yggdrasil, който децентрализираният доставчик на интернет услуги Medium използва като транспорт, не разполагаше със собствен DNS сървър или инфраструктура с публичен ключ - обаче необходимостта от издаване на сертификати за сигурност за мрежови услуги на Medium реши тези два проблема.
Защо имате нужда от PKI, ако Yggdrasil извън кутията предоставя възможност за криптиране на трафик между партньори?Няма нужда да използвате HTTPS за свързване към уеб услуги в мрежата на Yggdrasil, ако се свържете с тях чрез локално работещ мрежов рутер на Yggdrasil.
Наистина: транспортът на Yggdrasil е на ниво протокол ви позволява безопасно да използвате ресурси в рамките на мрежата Yggdrasil - способността за провеждане MITM атаки напълно изключени.
Ситуацията се променя радикално, ако получите достъп до интранет ресурсите на Yggdarsil не директно, а чрез междинен възел - точката за достъп до мрежата Medium, която се администрира от нейния оператор.
В този случай кой може да компрометира данните, които предавате:
Оператор на точка за достъп. Очевидно е, че настоящият оператор на точката за достъп до мрежата Medium може да подслушва некриптиран трафик, който преминава през неговото оборудване.
Решение: за достъп до уеб услуги в рамките на мрежата Yggdrasil, използвайте HTTPS протокола (ниво 7 OSI модели). Проблемът е, че не е възможно да се издаде истински сертификат за сигурност за мрежовите услуги на Yggdrasil чрез нормални средства като Нека да шифроваме.
Затова създадохме собствен сертификационен център - „Среден глобален корен CA“. По-голямата част от услугите в мрежата Medium са подписани от основния сертификат за сигурност на междинния сертифициращ орган Medium Domain Validation Secure Server CA.
Възможността за компрометиране на основния сертификат на сертифициращия орган, разбира се, беше взета под внимание - но тук сертификатът е по-необходим, за да потвърди целостта на предаването на данни и да елиминира възможността от MITM атаки.
Средните мрежови услуги от различни оператори имат различни сертификати за сигурност, по един или друг начин подписани от основния сертифициращ орган. Операторите на Root CA обаче не могат да подслушват криптиран трафик от услуги, към които са подписали сертификати за сигурност (вж. „Какво е КСО?“).
Тези, които са особено загрижени за своята безопасност, могат да използват такива средства като допълнителна защита, като напр PGP и сходен.
Понастоящем инфраструктурата на публичния ключ на мрежата Medium има способността да проверява състоянието на сертификат с помощта на протокола OCSP или чрез използване C.R.L..
По-близо до точката
Потребител @NXShock започна разработването на търсачка за уеб услуги, разположени в мрежата Yggdrasil. Важен аспект е фактът, че определянето на IPv6 адреси на услуги при извършване на търсене се извършва чрез изпращане на заявка до DNS сървър, разположен в мрежата Medium.
Основният TLD е .ygg. Повечето имена на домейни имат този TLD, с две изключения: .интернет доставчик и .gg.
Търсачката е в процес на разработка, но използването й е възможно още днес – просто посетете уебсайта search.medium.isp.
Medium създаде нов сертифициращ орган, Medium Global Root CA. Кой ще бъде засегнат от промените?
Вчера приключи публичното тестване на функционалността на центъра за сертифициране Medium Root CA. В края на тестването бяха коригирани грешки в работата на инфраструктурни услуги с публичен ключ и беше създаден нов основен сертификат на сертифициращия орган „Medium Global Root CA“.
Бяха взети предвид всички нюанси и характеристики на PKI - сега новият CA сертификат „Medium Global Root CA“ ще бъде издаден само десет години по-късно (след датата на изтичане). Сега сертификатите за сигурност се издават само от междинни сертифициращи органи - например „Средно валидиране на защитен сървър CA“.
Как изглежда веригата за доверие на сертификати сега?
Какво трябва да се направи, за да работи всичко, ако сте потребител:
Тъй като някои услуги използват HSTS, преди да използвате средни мрежови ресурси, трябва да изтриете данни от средни интранет ресурси. Можете да направите това в раздела История на вашия браузър.
Какво трябва да направите, за да работи всичко, ако сте системен оператор:
Трябва да преиздадете сертификата за вашата услуга на страницата pki.medium.isp (услугата е достъпна само в мрежата Medium).
Сертификати за сигурност за всеки дом - как да създадете своя собствена услуга в мрежата Yggdrasil и да издадете валиден SSL сертификат за нея
Поради нарастването на броя на интранет услугите в мрежата Medium се увеличи необходимостта от издаване на нови сертификати за сигурност и конфигуриране на техните услуги, така че да поддържат SSL.
Тъй като Habr е технически ресурс, във всеки нов дайджест една от точките от дневния ред ще разкрие техническите характеристики на средната мрежова инфраструктура. Например, по-долу са изчерпателни инструкции за издаване на SSL сертификат за вашата услуга.
Примерите ще посочат името на домейна домейн.ygg, което трябва да бъде заменено с името на домейна на вашата услуга.
Стъпка 1. Генерирайте частен ключ и параметри на Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Стъпка 3. Изпратете заявка за сертификат
За да направите това, копирайте съдържанието на файла домейн.ygg.csr и го поставете в текстовото поле на сайта pki.medium.isp.
Следвайте инструкциите, предоставени на уебсайта, след което щракнете върху „Изпращане“. При успех ще бъде изпратено съобщение до посочения от вас имейл адрес, съдържащо прикачен файл под формата на сертификат, подписан от междинен сертифициращ орган.
Стъпка 4. Настройте вашия уеб сървър
Ако използвате nginx като уеб сървър, използвайте следната конфигурация:
досие домейн.ygg.conf в указателя /etc/nginx/sites-available/
Сертификатът, който сте получили по имейл, трябва да бъде копиран на: /etc/ssl/certs/domain.ygg.crt. Личен ключ (домейн.ygg.key) го поставете в директория /etc/ssl/private/.
Стъпка 5. Рестартирайте вашия уеб сървър
sudo service nginx restart
Безплатният интернет в Русия започва с вас
Можете да окажете цялата възможна помощ за създаване на безплатен интернет в Русия днес. Съставихме изчерпателен списък за това как можете да помогнете на мрежата:
Разкажете на вашите приятели и колеги за мрежата Medium. Дял връзка към тази статия в социалните мрежи или личен блог
Участвайте в обсъждането на технически въпроси в мрежата Medium на GitHub