Wir hören ständig den Ausdruck „nationale Sicherheit“, aber wenn die Regierung beginnt, unsere Kommunikation zu überwachen und sie ohne glaubwürdigen Verdacht, ohne Rechtsgrundlage und ohne erkennbaren Zweck aufzuzeichnen, müssen wir uns die Frage stellen: Schützen sie wirklich die nationale Sicherheit? Schützen sie ihre eigenen?
- Edward Snowden
Mit dieser Zusammenfassung soll das Interesse der Gemeinschaft am Thema Datenschutz erhöht werden, was im Lichte von wird relevanter als je zuvor.
An der Tagesordnung:
Enthusiasten aus der Community des dezentralen Internetanbieters „Medium“ erstellen eine eigene Suchmaschine
Medium hat eine neue Zertifizierungsstelle eingerichtet, Medium Global Root CA. Wer ist von den Änderungen betroffen?
Sicherheitszertifikate für jedes Zuhause – So erstellen Sie Ihren eigenen Dienst im Yggdrasil-Netzwerk und stellen dafür ein gültiges SSL-Zertifikat aus
Erinnern Sie mich: Was ist „Mittel“?
Medium (Englisch Medium - „Vermittler“, ursprünglicher Slogan - Fragen Sie nicht nach Ihrer Privatsphäre. Nimm es zurück; auch im Englischen das Wort mittlere bedeutet „Mittelstufe“) – ein russischer dezentraler Internetanbieter, der Netzwerkzugangsdienste anbietet kostenlos.
Vollständiger Name: Mittlerer Internetdienstanbieter. Ursprünglich war das Projekt so konzipiert в .
Gegründet im April 2019 im Rahmen der Schaffung einer unabhängigen Telekommunikationsumgebung, indem Endbenutzern mithilfe der drahtlosen Wi-Fi-Datenübertragungstechnologie Zugriff auf Yggdrasil-Netzwerkressourcen ermöglicht wird.
Weitere Informationen zum Thema:
Enthusiasten aus der Community des dezentralen Internetanbieters „Medium“ erstellen eine eigene Suchmaschine
Ursprünglich online , das der dezentrale Internetdienstanbieter Medium als Transport nutzt, verfügte weder über einen eigenen DNS-Server noch über eine Public-Key-Infrastruktur – die Notwendigkeit, Sicherheitszertifikate für Medium-Netzwerkdienste auszustellen, löste diese beiden Probleme jedoch.
Warum benötigen Sie eine PKI, wenn Yggdrasil standardmäßig die Möglichkeit bietet, den Datenverkehr zwischen Peers zu verschlüsseln?Es ist nicht erforderlich, HTTPS zu verwenden, um eine Verbindung zu Webdiensten im Yggdrasil-Netzwerk herzustellen, wenn Sie eine Verbindung zu ihnen über einen lokal ausgeführten Yggdrasil-Netzwerkrouter herstellen.
Tatsächlich: Der Transport von Yggdrasil ist gleichwertig ermöglicht Ihnen die sichere Nutzung von Ressourcen innerhalb des Yggdrasil-Netzwerks – die Fähigkeit zum Dirigieren völlig ausgeschlossen.
Die Situation ändert sich radikal, wenn Sie nicht direkt, sondern über einen Zwischenknoten auf die Intranetressourcen von Yggdarsil zugreifen – den Medium Network Access Point, der von seinem Betreiber verwaltet wird.
Wer kann in diesem Fall die von Ihnen übermittelten Daten kompromittieren:
- Access-Point-Betreiber. Es ist offensichtlich, dass der derzeitige Betreiber des Medium-Netzwerkzugangspunkts den unverschlüsselten Datenverkehr abhören kann, der über seine Geräte läuft.
- Eindringling (). Medium hat ein ähnliches Problem wie , nur in Bezug auf Eingabe- und Zwischenknoten.
So sieht es aus
Lösung: Um auf Webdienste innerhalb des Yggdrasil-Netzwerks zuzugreifen, verwenden Sie das HTTPS-Protokoll (Ebene 7 ). Das Problem besteht darin, dass es nicht möglich ist, mit normalen Mitteln wie z. B. ein echtes Sicherheitszertifikat für Yggdrasil-Netzwerkdienste auszustellen .
Deshalb haben wir unser eigenes Zertifizierungszentrum gegründet – . Die überwiegende Mehrheit der Dienste im Medium-Netzwerk ist mit dem Stammsicherheitszertifikat der Zwischenzertifizierungsstelle Medium Domain Validation Secure Server CA signiert.
Die Möglichkeit einer Kompromittierung des Stammzertifikats der Zertifizierungsstelle wurde natürlich berücksichtigt – hier ist das Zertifikat jedoch eher notwendig, um die Integrität der Datenübertragung zu bestätigen und die Möglichkeit von MITM-Angriffen auszuschließen.
Mittlere Netzwerkdienste verschiedener Betreiber verfügen über unterschiedliche Sicherheitszertifikate, die auf die eine oder andere Weise von der Stammzertifizierungsstelle signiert sind. Root-CA-Betreiber sind jedoch nicht in der Lage, verschlüsselten Datenverkehr von Diensten abzuhören, für die sie Sicherheitszertifikate signiert haben (siehe ).
Wer besonders auf seine Sicherheit bedacht ist, kann solche Mittel als zusätzlichen Schutz nutzen, wie z и .
Derzeit verfügt die Public-Key-Infrastruktur des Medium-Netzwerks über die Möglichkeit, den Status eines Zertifikats mithilfe des Protokolls zu überprüfen oder durch Gebrauch .
Komm zum Punkt
Benutzer begann mit der Entwicklung einer Suchmaschine für Webdienste im Yggdrasil-Netzwerk. Ein wichtiger Aspekt ist die Tatsache, dass die Ermittlung der IPv6-Adressen von Diensten bei der Durchführung einer Suche durch Senden einer Anfrage an einen DNS-Server innerhalb des Medium-Netzwerks erfolgt.
Die Haupt-TLD ist .ygg. Die meisten Domainnamen haben diese TLD, mit zwei Ausnahmen: .isp и .gg.
Die Suchmaschine befindet sich in der Entwicklung, ihre Nutzung ist jedoch bereits heute möglich – besuchen Sie einfach die Website .
Sie können bei der Entwicklung des Projekts mithelfen, .
Medium hat eine neue Zertifizierungsstelle eingerichtet, Medium Global Root CA. Wer ist von den Änderungen betroffen?
Gestern wurde der öffentliche Test der Funktionalität des Medium Root CA-Zertifizierungszentrums abgeschlossen. Am Ende des Tests wurden Fehler im Betrieb der Public-Key-Infrastrukturdienste behoben und ein neues Stammzertifikat der Zertifizierungsstelle „Medium Global Root CA“ erstellt.
Alle Nuancen und Merkmale der PKI wurden berücksichtigt – nun wird das neue CA-Zertifikat „Medium Global Root CA“ erst zehn Jahre später (nach seinem Ablaufdatum) ausgestellt. Jetzt werden Sicherheitszertifikate nur noch von Zwischenzertifizierungsstellen ausgestellt – zum Beispiel „Medium Domain Validation Secure Server CA“.
Wie sieht die Zertifikatsvertrauenskette jetzt aus?
Was muss getan werden, damit alles funktioniert, wenn Sie ein Benutzer sind:
Da einige Dienste HSTS verwenden, müssen Sie vor der Verwendung von Medium-Netzwerkressourcen Daten aus Medium-Intranetressourcen löschen. Sie können dies auf der Registerkarte „Verlauf“ Ihres Browsers tun.
Es ist auch notwendig Zertifizierungszentrum „Medium Global Root CA“.
Was muss getan werden, damit alles funktioniert, wenn Sie ein Systembetreiber sind:
Sie müssen das Zertifikat für Ihren Dienst auf der Seite erneut ausstellen (Der Dienst ist nur im Medium-Netzwerk verfügbar).
Sicherheitszertifikate für jedes Zuhause – So erstellen Sie Ihren eigenen Dienst im Yggdrasil-Netzwerk und stellen dafür ein gültiges SSL-Zertifikat aus
Aufgrund der wachsenden Zahl von Intranetdiensten im Medium-Netzwerk ist die Notwendigkeit gestiegen, neue Sicherheitszertifikate auszustellen und ihre Dienste so zu konfigurieren, dass sie SSL unterstützen.
Da es sich bei Habr um eine technische Ressource handelt, werden in jedem neuen Digest einer der Tagesordnungspunkte die technischen Merkmale der Medium-Netzwerkinfrastruktur offenlegen. Nachfolgend finden Sie beispielsweise umfassende Anweisungen zur Ausstellung eines SSL-Zertifikats für Ihren Dienst.
In den Beispielen wird der Domänenname angegeben domain.ygg, der durch den Domänennamen Ihres Dienstes ersetzt werden muss.
Schritt 1. Generieren Sie private Schlüssel und Diffie-Hellman-Parameter
openssl genrsa -out domain.ygg.key 2048Dann:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Schritt 2. Erstellen Sie eine Zertifikatsignierungsanforderung
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confDateiinhalte domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Schritt 3. Senden Sie eine Zertifikatsanfrage
Kopieren Sie dazu den Inhalt der Datei domain.ygg.csr und fügen Sie es in das Textfeld auf der Website ein .
Befolgen Sie die Anweisungen auf der Website und klicken Sie dann auf „Senden“. Bei Erfolg wird eine Nachricht an die von Ihnen angegebene E-Mail-Adresse gesendet, die einen Anhang in Form eines von einer Zwischenzertifizierungsstelle signierten Zertifikats enthält.
Schritt 4. Richten Sie Ihren Webserver ein
Wenn Sie Nginx als Webserver verwenden, verwenden Sie die folgende Konfiguration:
Datei domain.ygg.conf im Verzeichnis /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
Datei ssl-params.conf im Verzeichnis /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Datei domain.ygg.conf im Verzeichnis /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Das Zertifikat, das Sie per E-Mail erhalten haben, muss kopiert werden nach: /etc/ssl/certs/domain.ygg.crt. Privat Schlüssel (domain.ygg.key) legen Sie es in einem Verzeichnis ab /etc/ssl/private/.
Schritt 5. Starten Sie Ihren Webserver neu
sudo service nginx restartKostenloses Internet in Russland beginnt bei Ihnen
Sie können heute jede erdenkliche Hilfe bei der Einrichtung eines kostenlosen Internets in Russland leisten. Wir haben eine umfassende Liste zusammengestellt, wie Sie dem Netzwerk genau helfen können:
- Erzählen Sie Ihren Freunden und Kollegen vom Medium-Netzwerk. Aktie zu diesem Artikel in sozialen Netzwerken oder im persönlichen Blog
- Beteiligen Sie sich an der Diskussion technischer Probleme im Medium-Netzwerk
- Erstellen Sie Ihren Webdienst im Yggdrasil-Netzwerk und fügen Sie ihn hinzu
- Erhöhe deine zum Medium-Netzwerk
Vorherige Versionen:
Siehe auch:
Wir sind auf Telegram:
An der Umfrage können nur registrierte Benutzer teilnehmen. bitte.
Alternative Abstimmung: Für uns ist es wichtig, die Meinung derjenigen zu kennen, die keinen vollständigen Account bei Habré haben
-
↑
-
↓
7 Benutzer haben abgestimmt. 2 Benutzer enthielten sich der Stimme.
Source: habr.com