Vi hører hele tiden udtrykket "national sikkerhed", men når regeringen begynder at overvåge vores kommunikation og optage dem uden troværdig mistanke, retsgrundlag og uden noget åbenlyst formål, må vi stille os selv spørgsmålet: beskytter de virkelig den nationale sikkerhed eller beskytter de deres egne?
— Edward Snowden
Denne sammenfatning har til formål at øge Fællesskabets interesse i spørgsmålet om privatlivets fred, som i lyset af seneste begivenheder bliver mere relevant end nogensinde før.
På dagsordenen:
Entusiaster fra fællesskabet af den decentraliserede internetudbyder "Medium" skaber deres egen søgemaskine
Medium har etableret en ny certificeringsmyndighed, Medium Global Root CA. Hvem vil blive berørt af ændringerne?
Sikkerhedscertifikater til ethvert hjem - hvordan du opretter din egen tjeneste på Yggdrasil-netværket og udsteder et gyldigt SSL-certifikat til det
Mind mig - hvad er "Medium"?
Medium (Engelsk Medium - "mellemmand", originalt slogan - Spørg ikke om dit privatliv. Tage det tilbage; også på engelsk ordet medium betyder "mellemliggende") - en russisk decentral internetudbyder, der leverer netværksadgangstjenester Yggdrasil gratis.
Fulde navn: Medium Internet Service Provider. Oprindeligt var projektet tænkt som Mesh netværk в Kolomna bydel.
Dannet i april 2019 som en del af skabelsen af et uafhængigt telekommunikationsmiljø ved at give slutbrugere adgang til Yggdrasil-netværksressourcer gennem brug af trådløs trådløs datatransmissionsteknologi.
Entusiaster fra fællesskabet af den decentraliserede internetudbyder "Medium" skaber deres egen søgemaskine
Oprindeligt online Yggdrasil, som den decentrale internettjenesteudbyder Medium bruger som transport, havde ikke sin egen DNS-server eller offentlig nøgleinfrastruktur - behovet for at udstede sikkerhedscertifikater for Medium-netværkstjenester løste dog disse to problemer.
Hvorfor har du brug for PKI, hvis Yggdrasil ud af boksen giver mulighed for at kryptere trafik mellem peers?Der er ingen grund til at bruge HTTPS til at oprette forbindelse til webtjenester på Yggdrasil-netværket, hvis du opretter forbindelse til dem via en lokalt kørende Yggdrasil-netværksrouter.
Faktisk: Yggdrasil transport er på niveau protokol giver dig mulighed for sikkert at bruge ressourcer inden for Yggdrasil-netværket - evnen til at udføre MITM angreb helt udelukket.
Situationen ændrer sig radikalt, hvis du ikke tilgår Yggdarsils intranetressourcer direkte, men gennem en mellemnode - det mellemstore netværksadgangspunkt, som administreres af dets operatør.
Hvem kan i dette tilfælde kompromittere de data, du sender:
Adgangspunktoperatør. Det er indlysende, at den nuværende operatør af det mellemstore netværksadgangspunkt kan lytte til ukrypteret trafik, der passerer gennem dets udstyr.
ubuden gæst (mand i midten). Medium har et problem svarende til Tor netværksproblem, kun i forhold til input og mellemliggende noder.
Sådan ser det ud
beslutning: For at få adgang til webtjenester inden for Yggdrasil-netværket skal du bruge HTTPS-protokollen (niveau 7 OSI modeller). Problemet er, at det ikke er muligt at udstede et ægte sikkerhedscertifikat for Yggdrasil netværkstjenester ad normale midler som f.eks. Lad os kryptere.
Derfor etablerede vi vores eget certificeringscenter - "Medium Global Root CA". Langt de fleste Medium-netværkstjenester er underskrevet af rodsikkerhedscertifikatet fra den mellemliggende certificeringsmyndighed "Medium Domain Validation Secure Server CA".
Muligheden for at kompromittere certificeringsmyndighedens rodcertifikat blev naturligvis taget i betragtning – men her er certifikatet mere nødvendigt for at bekræfte integriteten af datatransmission og eliminere muligheden for MITM-angreb.
Mellemstore netværkstjenester fra forskellige operatører har forskellige sikkerhedscertifikater, på den ene eller anden måde underskrevet af rodcertificeringsmyndigheden. Root CA-operatører er dog ikke i stand til at aflytte krypteret trafik fra tjenester, som de har underskrevet sikkerhedscertifikater til (se "Hvad er CSR?").
De, der er særligt bekymrede for deres sikkerhed, kan bruge midler som yderligere beskyttelse, som f.eks PGP и lignende.
I øjeblikket har den offentlige nøgleinfrastruktur på Medium-netværket mulighed for at kontrollere status for et certifikat ved hjælp af protokollen OCSP eller gennem brug C.R.L..
Tættere på punktet
Bruger @NXShock begyndte at udvikle en søgemaskine til webtjenester placeret på Yggdrasil-netværket. Et vigtigt aspekt er det faktum, at bestemmelsen af IPv6-adresser på tjenester, når du udfører en søgning, udføres ved at sende en anmodning til en DNS-server placeret inde i Medium-netværket.
Den vigtigste TLD er .ygg. De fleste domænenavne har denne TLD, med to undtagelser: .isp и .gg.
Søgemaskinen er under udvikling, men dens brug er allerede mulig i dag - besøg blot hjemmesiden søge.medium.isp.
Medium har etableret en ny certificeringsmyndighed, Medium Global Root CA. Hvem vil blive berørt af ændringerne?
I går blev den offentlige test af funktionaliteten af Medium Root CA-certificeringscenteret afsluttet. Ved afslutningen af testen blev fejl i driften af offentlige nøgleinfrastrukturtjenester rettet, og et nyt rodcertifikat fra certificeringsmyndigheden "Medium Global Root CA" blev oprettet.
Alle nuancer og funktioner i PKI blev taget i betragtning - nu vil det nye CA-certifikat "Medium Global Root CA" blive udstedt kun ti år senere (efter dets udløbsdato). Nu udstedes sikkerhedscertifikater kun af mellemliggende certificeringsmyndigheder - for eksempel "Medium Domain Validation Secure Server CA".
Hvordan ser certifikattillidskæden ud nu?
Hvad skal der gøres for at alt fungerer, hvis du er bruger:
Da nogle tjenester bruger HSTS, skal du, før du bruger Medium netværksressourcer, slette data fra Medium intranetressourcer. Du kan gøre dette på fanen Historik i din browser.
Hvad skal der gøres for at få alt til at fungere, hvis du er systemoperatør:
Du skal genudstede certifikatet for din tjeneste på siden pki.medium.isp (tjenesten er kun tilgængelig på Medium-netværket).
Sikkerhedscertifikater til ethvert hjem - hvordan du opretter din egen tjeneste på Yggdrasil-netværket og udsteder et gyldigt SSL-certifikat til det
På grund af væksten i antallet af intranettjenester på Medium-netværket er behovet for at udstede nye sikkerhedscertifikater og konfigurere deres tjenester, så de understøtter SSL, steget.
Da Habr er en teknisk ressource, vil et af dagsordenspunkterne i hvert nyt sammendrag afsløre de tekniske egenskaber ved den mellemstore netværksinfrastruktur. Nedenfor er for eksempel omfattende instruktioner til udstedelse af et SSL-certifikat til din tjeneste.
Eksemplerne vil angive domænenavnet domæne.ygg, som skal erstattes med domænenavnet på din tjeneste.
Trin 1. Generer privat nøgle og Diffie-Hellman parametre
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Trin 3. Indsend en anmodning om certifikat
For at gøre dette skal du kopiere indholdet af filen domæne.ygg.csr og indsæt det i tekstfeltet på webstedet pki.medium.isp.
Følg instruktionerne på webstedet, og klik derefter på "Send". Hvis det lykkes, sendes en meddelelse til den e-mailadresse, du har angivet, indeholdende en vedhæftet fil i form af et certifikat, der er underskrevet af en mellemliggende certificeringsmyndighed.
Trin 4. Konfigurer din webserver
Hvis du bruger nginx som din webserver, skal du bruge følgende konfiguration:
fil domæne.ygg.conf i mappen /etc/nginx/sites-available/
Det certifikat, du har modtaget på e-mail, skal kopieres til: /etc/ssl/certs/domain.ygg.crt. Privat nøgle (domæne.ygg.nøgle) placere den i en mappe /etc/ssl/private/.
Trin 5. Genstart din webserver
sudo service nginx restart
Gratis internet i Rusland starter med dig
Du kan yde al mulig assistance til etableringen af et gratis internet i Rusland i dag. Vi har samlet en omfattende liste over præcis, hvordan du kan hjælpe netværket:
Fortæl dine venner og kolleger om netværket Medium. Del link til denne artikel på sociale netværk eller personlig blog
Tag del i diskussionen af tekniske spørgsmål på Medium-netværket på GitHub