Kanunay natong madungog ang hugpong sa mga pulong nga "nasyonal nga seguridad", apan sa dihang ang gobyerno nagsugod sa pag-monitor sa atong mga komunikasyon, pagrekord niini nga walay katuohan nga pagduda, legal nga basehan ug walay bisan unsa nga dayag nga katuyoan, kinahanglan natong pangutan-on ang atong kaugalingon sa pangutana: nanalipod ba sila sa nasudnong seguridad o giprotektahan ba nila ang ilang kaugalingon?
- Edward Snowden
Kini nga digest gituyo aron madugangan ang interes sa Komunidad sa isyu sa pagkapribado, nga, sa kahayag sa nahimong mas may kalabotan kaysa kaniadto.
Sa agenda:
Ang mga mahiligon gikan sa komunidad sa desentralisadong Internet provider nga "Medium" nagmugna sa ilang kaugalingong search engine
Ang Medium nagtukod ug bag-ong awtoridad sa sertipikasyon, Medium Global Root CA. Kinsa ang maapektuhan sa mga pagbag-o?
Mga sertipiko sa seguridad alang sa matag balay - kung giunsa paghimo ang imong kaugalingon nga serbisyo sa Yggdrasil network ug pag-isyu sa usa ka balido nga sertipiko sa SSL alang niini
Pahinumdumi ko - unsa ang "Medium"?
medium (Eng. medium - "intermediary", orihinal nga slogan - Ayaw pagpangayo alang sa imong pribasiya. Iuli kini; sa English sab ang pulong medium nagpasabut nga "intermediate") - usa ka Russian nga desentralisado nga Internet provider nga naghatag serbisyo sa pag-access sa network walay bayad.
Tibuok nga ngalan: Medium Internet Service Provider. Sa sinugdan ang proyekto gimugna isip в .
Naporma kaniadtong Abril 2019 isip bahin sa paghimo sa usa ka independente nga palibot sa telekomunikasyon pinaagi sa paghatag sa mga end user nga adunay access sa mga kapanguhaan sa network sa Yggdrasil pinaagi sa paggamit sa Wi-Fi wireless data transmission technology.
Dugang nga kasayuran sa hilisgutan:
Ang mga mahiligon gikan sa komunidad sa desentralisadong Internet provider nga "Medium" nagmugna sa ilang kaugalingong search engine
Orihinal nga online , nga gigamit sa desentralisadong Internet service provider nga Medium isip transportasyon, walay kaugalingong DNS server o public key nga imprastraktura - bisan pa, ang panginahanglan sa pag-isyu sa mga sertipiko sa seguridad alang sa mga serbisyo sa Medium network nakasulbad niining duha ka mga problema.
Ngano nga kinahanglan nimo ang PKI kung ang Yggdrasil sa gawas sa kahon naghatag katakus sa pag-encrypt sa trapiko tali sa mga kaedad?Dili kinahanglan nga mogamit sa HTTPS aron makonektar sa mga serbisyo sa web sa Yggdrasil network kung magkonektar ka kanila pinaagi sa usa ka lokal nga nagdagan nga Yggdrasil network router.
Sa tinuud: Ang transportasyon sa Yggdrasil parehas nagtugot kanimo sa luwas nga paggamit sa mga kapanguhaan sulod sa Yggdrasil network - ang abilidad sa pagpahigayon hingpit nga wala iapil.
Mabag-o gid ang sitwasyon kung ma-access nimo ang intranet nga mga kapanguhaan sa Yggdarsil dili direkta, apan pinaagi sa intermediate node - ang Medium network access point, nga gidumala sa operator niini.
Sa kini nga kaso, kinsa ang makakompromiso sa datos nga imong ipadala:
- Operator sa access point. Dayag nga ang kasamtangang operator sa Medium network access point mahimong maka-eavesdrop sa wala ma-encrypt nga trapiko nga moagi sa mga kagamitan niini.
- manghilabot (). Ang medium adunay problema nga susama sa , nalangkit lamang sa input ug intermediate nodes.
Mao kini ang hitsura niini
desisyon: aron ma-access ang mga serbisyo sa web sulod sa Yggdrasil network, gamita ang HTTPS protocol (level 7 ). Ang problema mao nga dili posible nga mag-isyu sa usa ka tinuud nga sertipiko sa seguridad alang sa mga serbisyo sa network sa Yggdrasil pinaagi sa normal nga paagi sama sa .
Busa, nagtukod kami sa among kaugalingon nga sentro sa sertipikasyon - . Ang kadaghanan sa mga serbisyo sa Medium network gipirmahan sa root security certificate sa intermediate certification authority Medium Domain Validation Secure Server CA.
Ang posibilidad sa pagkompromiso sa gamut nga sertipiko sa awtoridad sa sertipikasyon, siyempre, giisip - apan dinhi ang sertipiko mas gikinahanglan aron makumpirma ang integridad sa pagpadala sa datos ug pagwagtang sa posibilidad sa mga pag-atake sa MITM.
Ang mga serbisyo sa medium nga network gikan sa lainlaing mga operator adunay lainlaing mga sertipiko sa seguridad, usa ka paagi o lain nga gipirmahan sa awtoridad sa sertipikasyon sa ugat. Bisan pa, ang mga operator sa Root CA dili makahimo sa pag-eavesdrop sa naka-encrypt nga trapiko gikan sa mga serbisyo nga ilang gipirmahan ang mga sertipiko sa seguridad (tan-awa ).
Kadtong labi nga nabalaka bahin sa ilang kaluwasan mahimong mogamit sa mga paagi sama sa dugang nga proteksyon, sama sa и .
Sa pagkakaron, ang publiko nga yawe nga imprastraktura sa Medium network adunay katakus sa pagsusi sa kahimtang sa usa ka sertipiko gamit ang protocol o pinaagi sa paggamit .
Adto sa punto
User nagsugod sa paghimo og search engine alang sa mga serbisyo sa web nga nahimutang sa Yggdrasil network. Ang usa ka hinungdanon nga aspeto mao ang kamatuoran nga ang pagtino sa mga adres sa IPv6 sa mga serbisyo kung maghimo usa ka pagpangita gihimo pinaagi sa pagpadala usa ka hangyo sa usa ka DNS server nga nahimutang sa sulod sa Medium network.
Ang nag-unang TLD mao ang .ygg. Kadaghanan sa mga ngalan sa domain adunay kini nga TLD, nga adunay duha nga mga eksepsiyon: .isp и .gg.
Ang search engine ubos sa pag-uswag, apan ang paggamit niini posible na karon - bisitaha lang ang website .
Makatabang ka sa pagpalambo sa proyekto, .
Ang Medium nagtukod ug bag-ong awtoridad sa sertipikasyon, Medium Global Root CA. Kinsa ang maapektuhan sa mga pagbag-o?
Kagahapon, ang publiko nga pagsulay sa pagpaandar sa Medium Root CA certification center nahuman. Sa pagtapos sa pagsulay, ang mga sayup sa operasyon sa publiko nga yawe nga mga serbisyo sa imprastraktura gitul-id ug usa ka bag-ong sertipiko sa ugat sa awtoridad sa sertipikasyon nga "Medium Global Root CA" ang gihimo.
Ang tanan nga mga nuances ug mga bahin sa PKI giisip - karon ang bag-ong CA certificate "Medium Global Root CA" i-isyu lamang napulo ka tuig sa ulahi (human sa expiration date). Karon ang mga sertipiko sa seguridad gi-isyu lamang sa mga awtoridad sa intermediate nga sertipikasyon - pananglitan, "Medium Domain Validation Secure Server CA".
Unsa na karon ang hitsura sa kadena sa pagsalig sa sertipiko?
Unsa ang kinahanglan buhaton aron ang tanan molihok kung ikaw usa ka tiggamit:
Tungod kay ang ubang mga serbisyo naggamit sa HSTS, sa dili pa gamiton ang Medium network resources, kinahanglan nimong papason ang data gikan sa Medium intranet resources. Mahimo nimo kini sa tab sa History sa imong browser.
Kinahanglan usab kini sentro sa sertipikasyon nga "Medium Global Root CA".
Unsa ang kinahanglan buhaton aron mahimo ang tanan kung ikaw usa ka operator sa sistema:
Kinahanglan nimo nga i-issue pag-usab ang sertipiko alang sa imong serbisyo sa panid (ang serbisyo anaa lamang sa Medium network).
Mga sertipiko sa seguridad alang sa matag balay - kung giunsa paghimo ang imong kaugalingon nga serbisyo sa Yggdrasil network ug pag-isyu sa usa ka balido nga sertipiko sa SSL alang niini
Tungod sa pag-uswag sa gidaghanon sa mga serbisyo sa intranet sa Medium network, ang panginahanglan sa pag-isyu og bag-ong mga sertipiko sa seguridad ug pag-configure sa ilang mga serbisyo aron ilang suportahan ang SSL miuswag.
Tungod kay ang Habr usa ka teknikal nga kapanguhaan, sa matag bag-ong digest usa sa mga butang sa agenda magpadayag sa mga teknikal nga bahin sa imprastraktura sa Medium network. Pananglitan, sa ubos ang komprehensibo nga mga panudlo alang sa pag-isyu sa usa ka sertipiko sa SSL alang sa imong serbisyo.
Ang mga pananglitan magpakita sa ngalan sa domain domain.ygg, nga kinahanglang pulihan sa ngalan sa domain sa imong serbisyo.
Lakang 1. Paghimo og pribadong yawe ug mga parameter sa Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Dayon:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Lakang 2. Paghimo usa ka hangyo sa pagpirma sa sertipiko
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confMga sulod sa file domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Lakang 3. Pagsumite usa ka hangyo sa sertipiko
Aron mahimo kini, kopyaha ang sulud sa file domain.ygg.csr ug idikit kini sa text field sa site .
Sunda ang mga panudlo nga gihatag sa website, dayon i-klik ang "Isumite". Kung magmalampuson, usa ka mensahe ang ipadala sa email address nga imong gitakda nga adunay sulud sa porma sa usa ka sertipiko nga gipirmahan sa usa ka intermediate nga awtoridad sa sertipikasyon.
Lakang 4. I-set up ang imong web server
Kung naggamit ka nginx isip imong web server, gamita ang mosunod nga configuration:
file domain.ygg.conf sa direktoryo /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
file ssl-params.conf sa direktoryo /etc/nginx/snippet/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
file domain.ygg.conf sa direktoryo /etc/nginx/snippet/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Ang sertipiko nga imong nadawat pinaagi sa email kinahanglan nga kopyahon sa: /etc/ssl/certs/domain.ygg.crt. Pribado nga yawe (domain.ygg.key) ibutang kini sa usa ka direktoryo /etc/ssl/pribado/.
Lakang 5. I-restart ang imong web server
sudo service nginx restartAng libre nga Internet sa Russia nagsugod kanimo
Mahimo nimong mahatagan ang tanan nga posible nga tabang sa pagtukod sa usa ka libre nga Internet sa Russia karon. Naghimo kami usa ka komprehensibo nga lista kung giunsa nimo pagtabang ang network:
- Sultihi ang imong mga higala ug kauban bahin sa Medium network. Ipaambit sa kini nga artikulo sa mga social network o personal nga blog
- Apil sa panaghisgot sa teknikal nga mga isyu sa Medium network
- Paghimo sa imong serbisyo sa web sa Yggdrasil network ug idugang kini sa
- Ipataas ang imoha ngadto sa Medium network
Nauna nga mga pagpagawas:
Basaha usab:
Anaa kami sa Telegram:
Ang mga rehistradong tiggamit lamang ang makaapil sa survey. , walay sapayan.
Alternatibong pagboto: importante nga mahibaloan nato ang opinyon niadtong walay bug-os nga asoy sa Habré
-
↑
-
↓
7 ka tiggamit ang miboto. 2 ka tiggamit ang nag- abstain.
Source: www.habr.com