Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Stu riassuntu hè destinatu à aumentà l'interessu di a Cumunità in u tema di a privacy, chì, in vista di l'ultimi avvenimenti diventa più pertinente chè mai.
À l'agenda:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Ricordatemi - chì hè "Medium"?
Medio (eng. Medio - "intermediariu", slogan originale - Ùn dumandate micca a vostra privacy. Ripiglià; ancu in inglese a parolla medie significa "intermediate") - un fornitore di Internet decentralizatu russu chì furnisce servizii d'accessu à a rete Yggdrasil gratuitamente.
Furmatu in April 2019 cum'è parte di a creazione di un ambiente di telecomunicazioni indipendenti chì furnisce l'utilizatori finali cù accessu à e risorse di rete Yggdrasil attraversu l'usu di a tecnulugia di trasmissione di dati wireless Wi-Fi.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Ùn ci hè bisognu di usà HTTPS per cunnette à i servizii web nantu à a reta Yggdrasil si cunnetta cù elli attraversu un router di rete Yggdrasil in esecuzione locale.
Infatti: u trasportu Yggdrasil hè à par protocolu vi permette di utilizà in modu sicuru e risorse in a reta Yggdrasil - a capacità di cunduce MITM attacca completamente esclusu.
A situazione cambia radicali s'è vo accede à i risorsi intranet Yggdarsil micca direttamente, ma à traversu un node intermediate - u puntu di accessu à a reta Medium, chì hè amministratu da u so operatore.
In questu casu, quale pò cumprumette i dati chì trasmette:
Operatore di puntu di accessu. Hè evidenti chì l'operatore attuale di u puntu d'accessu à a rete Medium pò spiegà u trafficu micca criptatu chì passa per u so equipamentu.
dicisioni: per accede à i servizii web in a reta Yggdrasil, utilizate u protocolu HTTPS (livellu 7 mudelli OSI). U prublema hè chì ùn hè micca pussibule di emette un certificatu di sicurezza genuu per i servizii di rete Yggdrasil per mezu di i mezi normali cum'è Let's Crypt.
Dunque, avemu stabilitu u nostru propiu centru di certificazione - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
A pussibilità di cumprumette u certificatu radicali di l'autorità di certificazione hè stata, sicuru, presa in contu - ma quì u certificatu hè più necessariu per cunfirmà l'integrità di a trasmissione di dati è eliminà a pussibilità di attacchi MITM.
I servizii di rete media di diversi operatori anu certificati di sicurità diffirenti, in un modu o un altru firmatu da l'autorità di certificazione di a radica. Tuttavia, l'operatori Root CA ùn sò micca capaci di spiegà u trafficu criptatu da i servizii à i quali anu firmatu certificati di sicurezza (vede "Chì hè a CSR?").
Quelli chì sò particularmente preoccupati di a so sicurità ponu utilizà tali mezi cum'è prutezzione supplementaria, cum'è PGP и simili.
Attualmente, l'infrastruttura di chjave publica di a rete Medium hà a capacità di verificà u statutu di un certificatu utilizendu u protocolu OCSP o attraversu l'usu C.R.L..
Andate à u puntu
Utilizatori @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Step 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Step 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Step 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
u schedariu domain.ygg.conf in u cartulare /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Step 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Internet gratuitu in Russia principia cù voi
Pudete furnisce tutte l'assistenza pussibule à a creazione di un Internet gratuitu in Russia oghje. Avemu cumpilatu una lista cumpleta di esattamente cumu pudete aiutà à a reta:
Dite à i vostri amichi è culleghi nantu à a reta Medium. sparte riferenza à questu articulu nantu à e rete suciale o blog persunale
Participà à a discussione di prublemi tecnichi nantu à a reta Medium nantu à GitHub
Crea u vostru serviziu web nantu à a reta Yggdrasil è aghjunghje à DNS di a rete Medium