Vi hører hele tiden udtrykket "national sikkerhed", men når regeringen begynder at overvåge vores kommunikation og optage dem uden troværdig mistanke, retsgrundlag og uden noget åbenlyst formål, må vi stille os selv spørgsmålet: beskytter de virkelig den nationale sikkerhed eller beskytter de deres egne?
— Edward Snowden
Denne sammenfatning har til formål at øge Fællesskabets interesse i spørgsmålet om privatlivets fred, som i lyset af bliver mere relevant end nogensinde før.
På dagsordenen:
Entusiaster fra fællesskabet af den decentraliserede internetudbyder "Medium" skaber deres egen søgemaskine
Medium har etableret en ny certificeringsmyndighed, Medium Global Root CA. Hvem vil blive berørt af ændringerne?
Sikkerhedscertifikater til ethvert hjem - hvordan du opretter din egen tjeneste på Yggdrasil-netværket og udsteder et gyldigt SSL-certifikat til det
Mind mig - hvad er "Medium"?
Medium (Engelsk Medium - "mellemmand", originalt slogan - Spørg ikke om dit privatliv. Tage det tilbage; også på engelsk ordet medium betyder "mellemliggende") - en russisk decentral internetudbyder, der leverer netværksadgangstjenester gratis.
Fulde navn: Medium Internet Service Provider. Oprindeligt var projektet tænkt som в .
Dannet i april 2019 som en del af skabelsen af et uafhængigt telekommunikationsmiljø ved at give slutbrugere adgang til Yggdrasil-netværksressourcer gennem brug af trådløs trådløs datatransmissionsteknologi.
Mere information om emnet:
Entusiaster fra fællesskabet af den decentraliserede internetudbyder "Medium" skaber deres egen søgemaskine
Oprindeligt online , som den decentrale internettjenesteudbyder Medium bruger som transport, havde ikke sin egen DNS-server eller offentlig nøgleinfrastruktur - behovet for at udstede sikkerhedscertifikater for Medium-netværkstjenester løste dog disse to problemer.
Hvorfor har du brug for PKI, hvis Yggdrasil ud af boksen giver mulighed for at kryptere trafik mellem peers?Der er ingen grund til at bruge HTTPS til at oprette forbindelse til webtjenester på Yggdrasil-netværket, hvis du opretter forbindelse til dem via en lokalt kørende Yggdrasil-netværksrouter.
Faktisk: Yggdrasil transport er på niveau giver dig mulighed for sikkert at bruge ressourcer inden for Yggdrasil-netværket - evnen til at udføre helt udelukket.
Situationen ændrer sig radikalt, hvis du ikke tilgår Yggdarsils intranetressourcer direkte, men gennem en mellemnode - det mellemstore netværksadgangspunkt, som administreres af dets operatør.
Hvem kan i dette tilfælde kompromittere de data, du sender:
- Adgangspunktoperatør. Det er indlysende, at den nuværende operatør af det mellemstore netværksadgangspunkt kan lytte til ukrypteret trafik, der passerer gennem dets udstyr.
- ubuden gæst (). Medium har et problem svarende til , kun i forhold til input og mellemliggende noder.
Sådan ser det ud
beslutning: For at få adgang til webtjenester inden for Yggdrasil-netværket skal du bruge HTTPS-protokollen (niveau 7 ). Problemet er, at det ikke er muligt at udstede et ægte sikkerhedscertifikat for Yggdrasil netværkstjenester ad normale midler som f.eks. .
Derfor etablerede vi vores eget certificeringscenter - . Langt de fleste Medium-netværkstjenester er underskrevet af rodsikkerhedscertifikatet fra den mellemliggende certificeringsmyndighed "Medium Domain Validation Secure Server CA".
Muligheden for at kompromittere certificeringsmyndighedens rodcertifikat blev naturligvis taget i betragtning – men her er certifikatet mere nødvendigt for at bekræfte integriteten af datatransmission og eliminere muligheden for MITM-angreb.
Mellemstore netværkstjenester fra forskellige operatører har forskellige sikkerhedscertifikater, på den ene eller anden måde underskrevet af rodcertificeringsmyndigheden. Root CA-operatører er dog ikke i stand til at aflytte krypteret trafik fra tjenester, som de har underskrevet sikkerhedscertifikater til (se ).
De, der er særligt bekymrede for deres sikkerhed, kan bruge midler som yderligere beskyttelse, som f.eks и .
I øjeblikket har den offentlige nøgleinfrastruktur på Medium-netværket mulighed for at kontrollere status for et certifikat ved hjælp af protokollen eller gennem brug .
Tættere på punktet
Bruger begyndte at udvikle en søgemaskine til webtjenester placeret på Yggdrasil-netværket. Et vigtigt aspekt er det faktum, at bestemmelsen af IPv6-adresser på tjenester, når du udfører en søgning, udføres ved at sende en anmodning til en DNS-server placeret inde i Medium-netværket.
Den vigtigste TLD er .ygg. De fleste domænenavne har denne TLD, med to undtagelser: .isp и .gg.
Søgemaskinen er under udvikling, men dens brug er allerede mulig i dag - besøg blot hjemmesiden .
Du kan være med til at udvikle projektet, .
Medium har etableret en ny certificeringsmyndighed, Medium Global Root CA. Hvem vil blive berørt af ændringerne?
I går blev den offentlige test af funktionaliteten af Medium Root CA-certificeringscenteret afsluttet. Ved afslutningen af testen blev fejl i driften af offentlige nøgleinfrastrukturtjenester rettet, og et nyt rodcertifikat fra certificeringsmyndigheden "Medium Global Root CA" blev oprettet.
Alle nuancer og funktioner i PKI blev taget i betragtning - nu vil det nye CA-certifikat "Medium Global Root CA" blive udstedt kun ti år senere (efter dets udløbsdato). Nu udstedes sikkerhedscertifikater kun af mellemliggende certificeringsmyndigheder - for eksempel "Medium Domain Validation Secure Server CA".
Hvordan ser certifikattillidskæden ud nu?
Hvad skal der gøres for at alt fungerer, hvis du er bruger:
Da nogle tjenester bruger HSTS, skal du, før du bruger Medium netværksressourcer, slette data fra Medium intranetressourcer. Du kan gøre dette på fanen Historik i din browser.
Det er også nødvendigt certificeringscenter "Medium Global Root CA".
Hvad skal der gøres for at få alt til at fungere, hvis du er systemoperatør:
Du skal genudstede certifikatet for din tjeneste på siden (tjenesten er kun tilgængelig på Medium-netværket).
Sikkerhedscertifikater til ethvert hjem - hvordan du opretter din egen tjeneste på Yggdrasil-netværket og udsteder et gyldigt SSL-certifikat til det
På grund af væksten i antallet af intranettjenester på Medium-netværket er behovet for at udstede nye sikkerhedscertifikater og konfigurere deres tjenester, så de understøtter SSL, steget.
Da Habr er en teknisk ressource, vil et af dagsordenspunkterne i hvert nyt sammendrag afsløre de tekniske egenskaber ved den mellemstore netværksinfrastruktur. Nedenfor er for eksempel omfattende instruktioner til udstedelse af et SSL-certifikat til din tjeneste.
Eksemplerne vil angive domænenavnet domæne.ygg, som skal erstattes med domænenavnet på din tjeneste.
Trin 1. Generer privat nøgle og Diffie-Hellman parametre
openssl genrsa -out domain.ygg.key 2048Derefter:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Trin 2. Opret en anmodning om certifikatsignering
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFilens indhold domæne.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Trin 3. Indsend en anmodning om certifikat
For at gøre dette skal du kopiere indholdet af filen domæne.ygg.csr og indsæt det i tekstfeltet på webstedet .
Følg instruktionerne på webstedet, og klik derefter på "Send". Hvis det lykkes, sendes en meddelelse til den e-mailadresse, du har angivet, indeholdende en vedhæftet fil i form af et certifikat, der er underskrevet af en mellemliggende certificeringsmyndighed.
Trin 4. Konfigurer din webserver
Hvis du bruger nginx som din webserver, skal du bruge følgende konfiguration:
fil domæne.ygg.conf i mappen /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fil ssl-params.conf i mappen /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fil domæne.ygg.conf i mappen /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Det certifikat, du har modtaget på e-mail, skal kopieres til: /etc/ssl/certs/domain.ygg.crt. Privat nøgle (domæne.ygg.nøgle) placere den i en mappe /etc/ssl/private/.
Trin 5. Genstart din webserver
sudo service nginx restartGratis internet i Rusland starter med dig
Du kan yde al mulig assistance til etableringen af et gratis internet i Rusland i dag. Vi har samlet en omfattende liste over præcis, hvordan du kan hjælpe netværket:
- Fortæl dine venner og kolleger om netværket Medium. Del til denne artikel på sociale netværk eller personlig blog
- Tag del i diskussionen af tekniske spørgsmål på Medium-netværket
- Opret din webservice på Yggdrasil-netværket og tilføj den til
- Hæv din til Medium netværket
Tidligere udgivelser:
Se også:
Vi er på Telegram:
Kun registrerede brugere kan deltage i undersøgelsen. , Vær venlig.
Alternativ afstemning: det er vigtigt for os at kende holdningen fra dem, der ikke har en fuld konto på Habré
-
↑
-
↓
7 brugere stemte. 2 brugere undlod at stemme.
Kilde: www.habr.com