Fráze „národní bezpečnost“ slýcháme neustále, ale když vláda začne sledovat naši komunikaci a nahrává ji bez věrohodného podezření, právního základu a bez jakéhokoli zjevného účelu, musíme si položit otázku: zda skutečně chrání národní bezpečnost nebo chrání své vlastní?
- Edward Snowden
Účelem tohoto přehledu je zvýšit zájem Společenství o otázku soukromí, což ve světle stává aktuálnější než kdykoli předtím.
Na programu:
Nadšenci z komunity decentralizovaného poskytovatele internetu „Medium“ vytvářejí svůj vlastní vyhledávač
Medium zřídilo novou certifikační autoritu Medium Global Root CA. Koho se změny dotknou?
Bezpečnostní certifikáty pro každou domácnost - jak si vytvořit vlastní službu v síti Yggdrasil a vydat pro ni platný SSL certifikát
Připomeňte mi – co je to „střední“?
Střední (Česky Střední - "zprostředkovatel", původní slogan - Nežádejte o své soukromí. Vezmi to zpět; také v angličtině slovo střední znamená „střední“) - ruský decentralizovaný poskytovatel internetu poskytující služby přístupu k síti zdarma.
Celé jméno: Střední poskytovatel internetových služeb. Původně byl projekt koncipován jako в .
Vznikla v dubnu 2019 jako součást vytvoření nezávislého telekomunikačního prostředí poskytováním přístupu koncovým uživatelům k síťovým zdrojům Yggdrasil pomocí technologie bezdrátového přenosu dat Wi-Fi.
Více informací k tématu:
Nadšenci z komunity decentralizovaného poskytovatele internetu „Medium“ vytvářejí svůj vlastní vyhledávač
Původně online , kterou decentralizovaný poskytovatel internetových služeb Medium využívá jako transport, neměl vlastní DNS server ani infrastrukturu veřejných klíčů – tyto dva problémy však vyřešila nutnost vydávat bezpečnostní certifikáty pro síťové služby Medium.
Proč potřebujete PKI, když Yggdrasil po vybalení poskytuje možnost šifrovat provoz mezi peery?Pro připojení k webovým službám v síti Yggdrasil není nutné používat HTTPS, pokud se k nim připojujete prostřednictvím lokálně spuštěného síťového routeru Yggdrasil.
Opravdu: Přeprava Yggdrasilu je na stejné úrovni umožňuje bezpečně využívat zdroje v rámci sítě Yggdrasil – schopnost dirigovat zcela vyloučeno.
Situace se radikálně změní, pokud k intranetovým zdrojům Yggdarsil nepřistupujete přímo, ale prostřednictvím mezilehlého uzlu – přístupového bodu střední sítě, který spravuje jeho operátor.
Kdo může v tomto případě kompromitovat přenášená data:
- Operátor přístupového bodu. Je zřejmé, že současný provozovatel přístupového bodu sítě Medium dokáže odposlouchávat nešifrovaný provoz, který prochází jeho zařízením.
- vetřelec (). Medium má podobný problém jako , pouze ve vztahu ke vstupním a mezilehlým uzlům.
Takhle to vypadá
rozhodnutí: pro přístup k webovým službám v rámci sítě Yggdrasil použijte protokol HTTPS (úroveň 7 ). Problém je v tom, že není možné vydat pravý bezpečnostní certifikát pro síťové služby Yggdrasil konvenčními prostředky jako např .
Proto jsme založili vlastní certifikační centrum - . Naprostá většina služeb v síti Medium je podepsána kořenovým bezpečnostním certifikátem zprostředkující certifikační autority Medium Domain Validation Secure Server CA.
S možností kompromitace kořenového certifikátu certifikační autority se samozřejmě počítalo – zde je však certifikát spíše nutný pro potvrzení integrity přenosu dat a eliminaci možnosti MITM útoků.
Střední síťové služby od různých operátorů mají různé bezpečnostní certifikáty, tak či onak podepsané kořenovou certifikační autoritou. Operátoři kořenové CA však nejsou schopni odposlouchávat šifrovaný provoz ze služeb, kterým podepsali bezpečnostní certifikáty (viz ).
Ti, kterým jde především o jejich bezpečnost, mohou jako doplňkovou ochranu použít takové prostředky, jako je kupř и .
V současné době má infrastruktura veřejného klíče sítě Medium možnost kontrolovat stav certifikátu pomocí protokolu nebo používáním .
Dostaňte se k věci
ПоР»ÑŒÐ · овРn, Ðμл Noe začal vyvíjet vyhledávač pro webové služby umístěné v síti Yggdrasil. Důležitým aspektem je skutečnost, že zjišťování IPv6 adres služeb při provádění vyhledávání se provádí odesláním požadavku na DNS server umístěný uvnitř sítě Medium.
Hlavní TLD je .ygg. Většina doménových jmen má tuto TLD, se dvěma výjimkami: .isp и .gg.
Vyhledávač je ve vývoji, ale jeho použití je možné již dnes – stačí navštívit web .
Můžete pomoci rozvoji projektu, .
Medium zřídilo novou certifikační autoritu Medium Global Root CA. Koho se změny dotknou?
Včera bylo dokončeno veřejné testování funkčnosti certifikačního centra Medium Root CA. V závěru testování byly opraveny chyby ve fungování služeb infrastruktury veřejných klíčů a byl vytvořen nový kořenový certifikát certifikační autority „Medium Global Root CA“.
Všechny nuance a vlastnosti PKI byly zohledněny - nyní bude nový certifikát CA „Medium Global Root CA“ vydán až o deset let později (po datu vypršení platnosti). Nyní bezpečnostní certifikáty vydávají pouze zprostředkující certifikační autority – například „Medium Domain Validation Secure Server CA“.
Jak nyní vypadá řetězec důvěryhodnosti certifikátů?
Co je třeba udělat, aby vše fungovalo, pokud jste uživatel:
Protože některé služby používají HSTS, musíte před použitím středních síťových prostředků odstranit data ze středních intranetových prostředků. Můžete to udělat na kartě Historie vašeho prohlížeče.
Je také nutné certifikační centrum "Medium Global Root CA".
Co je třeba udělat, aby vše fungovalo, pokud jste systémový operátor:
Musíte znovu vydat certifikát pro vaši službu na stránce (služba je dostupná pouze v síti Medium).
Bezpečnostní certifikáty pro každou domácnost - jak si vytvořit vlastní službu v síti Yggdrasil a vydat pro ni platný SSL certifikát
Vzhledem k růstu počtu intranetových služeb v síti Medium vzrostla potřeba vydávat nové bezpečnostní certifikáty a konfigurovat jejich služby tak, aby podporovaly SSL.
Vzhledem k tomu, že Habr je technický zdroj, v každém novém přehledu jeden z bodů programu odhalí technické vlastnosti infrastruktury sítě Medium. Níže jsou například uvedeny podrobné pokyny pro vydání certifikátu SSL pro vaši službu.
V příkladech bude uveden název domény doména.ygg, který musí být nahrazen názvem domény vaší služby.
Krok 1. Vygenerujte soukromý klíč a parametry Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Pak řekl:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Krok 2. Vytvořte žádost o podpis certifikátu
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confObsah souboru domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Krok 3. Odešlete žádost o certifikát
Chcete-li to provést, zkopírujte obsah souboru doména.ygg.csr a vložte jej do textového pole na webu .
Postupujte podle pokynů uvedených na webu a poté klikněte na „Odeslat“. V případě úspěchu bude na vámi zadanou e-mailovou adresu odeslána zpráva s přílohou ve formě certifikátu podepsaného zprostředkující certifikační autoritou.
Krok 4. Nastavte si webový server
Pokud jako webový server používáte nginx, použijte následující konfiguraci:
Soubor domain.ygg.conf v adresáři /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
Soubor ssl-params.conf v adresáři /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Soubor domain.ygg.conf v adresáři /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Certifikát, který jste obdrželi e-mailem, je třeba zkopírovat na adresu: /etc/ssl/certs/domain.ygg.crt. Soukromý klíč (doména.ygg.key) umístěte jej do adresáře /etc/ssl/private/.
Krok 5. Restartujte webový server
sudo service nginx restartInternet zdarma v Rusku začíná u vás
Dnes můžete poskytnout veškerou možnou pomoc při zřízení bezplatného internetu v Rusku. Sestavili jsme úplný seznam toho, jak přesně můžete síti pomoci:
- Řekněte svým přátelům a kolegům o střední síti. Podíl k tomuto článku na sociálních sítích nebo osobním blogu
- Zúčastněte se diskuse o technických problémech v síti Medium
- Vytvořte svou webovou službu v síti Yggdrasil a přidejte ji do
- Pozvedni svou do střední sítě
Předchozí vydání:
Viz také:
Jsme na telegramu:
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. , prosím.
Alternativní hlasování: je pro nás důležité znát názor těch, kteří nemají plný účet na Habrého
-
↑
-
↓
Hlasovalo 7 uživatelů. 2 uživatelů se zdrželo hlasování.
Zdroj: www.habr.com