Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Aquest recull pretén augmentar l'interès de la Comunitat pel tema de la privadesa, que, a la llum de esdevé més rellevant que mai.
A l'ordre del dia:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Recorda'm: què és "Mitjà"?
mitjà (Anglès mitjà - "intermediari", eslògan original - No demanis la teva privadesa. Prendre de nou; també en anglès la paraula mitjà significa "intermedi"): un proveïdor d'Internet descentralitzat rus que ofereix serveis d'accés a la xarxa gratis.
Nom complet: Proveïdor de serveis d'Internet mitjà. Inicialment el projecte es va concebre com в .
Es va formar l'abril de 2019 com a part de la creació d'un entorn de telecomunicacions independent proporcionant als usuaris finals accés als recursos de la xarxa Yggdrasil mitjançant l'ús de la tecnologia de transmissió de dades sense fils Wi-Fi.
Més informació sobre el tema:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?No cal utilitzar HTTPS per connectar-se als serveis web a la xarxa Yggdrasil si us connecteu a ells mitjançant un encaminador de xarxa Yggdrasil que s'executa localment.
De fet: el transport Yggdrasil està a l'alçada us permet utilitzar de manera segura els recursos dins de la xarxa Yggdrasil: la capacitat de conduir totalment exclosos.
La situació canvia radicalment si accediu als recursos de la intranet d'Yggdarsil no directament, sinó a través d'un node intermedi: el punt d'accés a la xarxa mitjana, que és administrat pel seu operador.
En aquest cas, qui pot comprometre les dades que transmeteu:
- Operador de punt d'accés. És obvi que l'actual operador del punt d'accés a la xarxa Medium pot escoltar el trànsit sense xifrar que passa pel seu equip.
- intrús (). Medium té un problema semblant a , només en relació als nodes d'entrada i intermedis.
Això és el que sembla
decisió: per accedir als serveis web dins de la xarxa Yggdrasil, utilitzeu el protocol HTTPS (nivell 7 ). El problema és que no és possible emetre un certificat de seguretat genuí per als serveis de xarxa Yggdrasil mitjançant mitjans convencionals com ara .
Per tant, vam establir el nostre propi centre de certificació - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Per descomptat, es va tenir en compte la possibilitat de comprometre el certificat arrel de l'autoritat de certificació, però aquí el certificat és més necessari per confirmar la integritat de la transmissió de dades i eliminar la possibilitat d'atacs MITM.
Els serveis de xarxa mitjana de diferents operadors tenen diferents certificats de seguretat, d'una manera o altra signats per l'autoritat de certificació arrel. Tanmateix, els operadors de CA arrel no poden escoltar el trànsit xifrat dels serveis als quals tenen certificats de seguretat signats (vegeu ).
Aquells que estan especialment preocupats per la seva seguretat poden utilitzar mitjans com ara protecció addicional, com ara и .
Actualment, la infraestructura de clau pública de la xarxa Medium té la capacitat de comprovar l'estat d'un certificat mitjançant el protocol o mitjançant l'ús .
Arriba al punt
Usuari начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .bona partida.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
També és necessari удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Pas 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Llavors:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Pas 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confContingut del fitxer domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Pas 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Pas 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
expedient domain.ygg.conf al directori /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
expedient ssl-params.conf al directori /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
expedient domain.ygg.conf al directori /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Pas 5. Перезапустите ваш веб-сервер
sudo service nginx restartInternet gratuït a Rússia comença amb tu
Podeu oferir tota l'assistència possible per a l'establiment d'una Internet gratuïta a Rússia avui. Hem compilat una llista completa de com podeu ajudar la xarxa exactament:
- Parleu als vostres amics i companys de la xarxa Medium. Compartir a aquest article a les xarxes socials o al bloc personal
- Participa en la discussió de qüestions tècniques a la xarxa Medium
- Creeu el vostre servei web a la xarxa Yggdrasil i afegiu-lo
- Aixeca el teu a la xarxa Mitjana
Edicions anteriors:
Veure també:
Tu a Telegram:
Només els usuaris registrats poden participar en l'enquesta. si us plau.
Votació alternativa: és important per a nosaltres conèixer l'opinió dels que no tenen un compte complet a Habré
-
↑
-
↓
Han votat 7 usuaris. 2 usuaris es van abstenir.
Font: www.habr.com