Srednji sedmični sažetak #5 (9. – 16. avgust 2019.)
Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Ovaj sažetak ima za cilj da poveća interes Zajednice za pitanje privatnosti, što, u svjetlu najnoviji događaji postaje relevantnija nego ikada ranije.
Na dnevnom redu:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Podsjeti me – šta je “srednji”?
srednji (Eng. srednji - "posrednik", originalni slogan - Ne tražite svoju privatnost. Uzeti natrag; takođe na engleskom reč srednji znači „srednji“) - ruski decentralizovani internet provajder koji pruža usluge pristupa mreži Yggdrasil besplatno.
Formiran u aprilu 2019. godine kao dio stvaranja nezavisnog telekomunikacijskog okruženja pružajući krajnjim korisnicima pristup Yggdrasil mrežnim resursima korištenjem Wi-Fi tehnologije bežičnog prijenosa podataka.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Nema potrebe za korištenjem HTTPS-a za povezivanje s web uslugama na Yggdrasil mreži ako se povežete na njih preko lokalno pokrenutog Yggdrasil mrežnog rutera.
Zaista: Yggdrasil transport je na nivou protokol omogućava vam da sigurno koristite resurse unutar Yggdrasil mreže - sposobnost vođenja MITM napadi potpuno isključena.
Situacija se radikalno mijenja ako Yggdarsilovim intranet resursima pristupite ne direktno, već preko posrednog čvora - srednje mrežne pristupne točke, kojom administrira njen operater.
U ovom slučaju, ko može kompromitovati podatke koje prenosite:
Operater pristupne tačke. Očigledno je da trenutni operater pristupne tačke srednje mreže može prisluškivati nešifrovani saobraćaj koji prolazi kroz njegovu opremu.
odluka: za pristup web uslugama unutar Yggdrasil mreže, koristite HTTPS protokol (nivo 7 OSI modeli). Problem je u tome što nije moguće izdati pravi sigurnosni certifikat za Yggdrasil mrežne usluge na konvencionalne načine kao što je Hajde da šifriramo.
Stoga smo osnovali vlastiti certifikacijski centar - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Mogućnost kompromitovanja root sertifikata sertifikacionog tela je, naravno, uzeta u obzir – ali ovde je sertifikat potrebniji da bi se potvrdio integritet prenosa podataka i eliminisala mogućnost MITM napada.
Srednji mrežni servisi različitih operatera imaju različite sigurnosne certifikate, na ovaj ili onaj način potpisane od strane korijenskog certifikacijskog tijela. Međutim, Root CA operateri ne mogu prisluškivati šifrirani promet sa servisa za koje su potpisali sigurnosne certifikate (pogledajte “Šta je CSR?”).
Oni koji su posebno zabrinuti za svoju sigurnost mogu koristiti sredstva dodatne zaštite, kao npr PGP и Slično.
Trenutno, infrastruktura javnog ključa srednje mreže ima mogućnost provjere statusa certifikata korištenjem protokola OCSP ili kroz upotrebu C.R.L..
Pređite na stvar
Korisnik @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Korak 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Korak 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Korak 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
fajl domain.ygg.conf u imeniku /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Korak 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Besplatan internet u Rusiji počinje s vama
Danas možete pružiti svu moguću pomoć za uspostavljanje besplatnog interneta u Rusiji. Sastavili smo sveobuhvatnu listu kako tačno možete pomoći mreži:
Recite svojim prijateljima i kolegama o mreži Medium. Dijeli referenca na ovaj članak na društvenim mrežama ili ličnom blogu
Učestvujte u raspravi o tehničkim pitanjima na mreži Medium na GitHubu
Kreirajte svoju web uslugu na Yggdrasil mreži i dodajte je DNS srednje mreže