Ακούμε συνεχώς τη φράση «εθνική ασφάλεια», αλλά όταν η κυβέρνηση αρχίζει να παρακολουθεί τις επικοινωνίες μας, καταγράφοντας τις χωρίς αξιόπιστη υποψία, νομική βάση και χωρίς προφανή σκοπό, πρέπει να αναρωτηθούμε: προστατεύουν πραγματικά την εθνική ασφάλεια ή προστατεύουν τους δικούς τους;
- Έντουαρντ Σνόουντεν
Αυτή η σύνοψη έχει σκοπό να αυξήσει το ενδιαφέρον της Κοινότητας για το ζήτημα της ιδιωτικής ζωής, το οποίο, υπό το πρίσμα του γίνεται πιο επίκαιρο από ποτέ.
Στην ατζέντα:
Λάτρεις από την κοινότητα του αποκεντρωμένου παρόχου Διαδικτύου "Medium" δημιουργούν τη δική τους μηχανή αναζήτησης
Η Medium δημιούργησε μια νέα αρχή πιστοποίησης, την Medium Global Root CA. Ποιους θα επηρεάσουν οι αλλαγές;
Πιστοποιητικά ασφαλείας για κάθε σπίτι - πώς να δημιουργήσετε τη δική σας υπηρεσία στο δίκτυο Yggdrasil και να εκδώσετε ένα έγκυρο πιστοποιητικό SSL για αυτό
Θύμισέ μου - τι είναι το "Medium";
Μέτριας Δυσκολίας (Αγγλικά Μέτριας Δυσκολίας - «ενδιάμεσος», πρωτότυπο σύνθημα - Μην ζητάτε την ιδιωτικότητά σας. Πάρ'το πίσω; επίσης στα αγγλικά η λέξη medium σημαίνει "ενδιάμεσο") - ένας ρωσικός αποκεντρωμένος πάροχος Διαδικτύου που παρέχει υπηρεσίες πρόσβασης στο δίκτυο δωρεάν.
Πλήρες όνομα: Medium Service Provider. Αρχικά το έργο σχεδιάστηκε ως в .
Δημιουργήθηκε τον Απρίλιο του 2019 ως μέρος της δημιουργίας ενός ανεξάρτητου τηλεπικοινωνιακού περιβάλλοντος παρέχοντας στους τελικούς χρήστες πρόσβαση στους πόρους του δικτύου Yggdrasil μέσω της χρήσης της τεχνολογίας ασύρματης μετάδοσης δεδομένων Wi-Fi.
Περισσότερες πληροφορίες για το θέμα:
Λάτρεις από την κοινότητα του αποκεντρωμένου παρόχου Διαδικτύου "Medium" δημιουργούν τη δική τους μηχανή αναζήτησης
Αρχικά διαδικτυακά , που χρησιμοποιεί ο αποκεντρωμένος πάροχος υπηρεσιών Διαδικτύου Medium ως μέσο μεταφοράς, δεν διέθετε δικό του διακομιστή DNS ή υποδομή δημόσιου κλειδιού - ωστόσο, η ανάγκη έκδοσης πιστοποιητικών ασφαλείας για τις υπηρεσίες δικτύου Medium έλυσε αυτά τα δύο προβλήματα.
Γιατί χρειάζεστε το PKI εάν το Yggdrasil out of the box παρέχει τη δυνατότητα κρυπτογράφησης της κυκλοφορίας μεταξύ ομοτίμων;Δεν χρειάζεται να χρησιμοποιήσετε το HTTPS για να συνδεθείτε σε υπηρεσίες web στο δίκτυο Yggdrasil, εάν συνδέεστε σε αυτές μέσω δρομολογητή δικτύου Yggdrasil που λειτουργεί τοπικά.
Πράγματι: Η μεταφορά Yggdrasil είναι στο ίδιο επίπεδο σας επιτρέπει να χρησιμοποιείτε με ασφάλεια πόρους εντός του δικτύου Yggdrasil - τη δυνατότητα διεξαγωγής αποκλείεται εντελώς.
Η κατάσταση αλλάζει ριζικά εάν έχετε πρόσβαση στους πόρους ενδοδικτύου του Yggdarsil όχι απευθείας, αλλά μέσω ενός ενδιάμεσου κόμβου - του σημείου πρόσβασης δικτύου Μεσαίο, το οποίο διαχειρίζεται ο χειριστής του.
Σε αυτήν την περίπτωση, ποιος μπορεί να θέσει σε κίνδυνο τα δεδομένα που μεταδίδετε:
- Χειριστής σημείου πρόσβασης. Είναι προφανές ότι ο τρέχων χειριστής του σημείου πρόσβασης δικτύου Medium μπορεί να κρυφακούει μη κρυπτογραφημένη κίνηση που διέρχεται από τον εξοπλισμό του.
- παρείσακτος (). Το μέσο έχει ένα πρόβλημα παρόμοιο με , μόνο σε σχέση με εισόδους και ενδιάμεσους κόμβους.
Έτσι φαίνεται
Λύση: για πρόσβαση σε υπηρεσίες web εντός του δικτύου Yggdrasil, χρησιμοποιήστε το πρωτόκολλο HTTPS (επίπεδο 7 ). Το πρόβλημα είναι ότι δεν είναι δυνατή η έκδοση γνήσιου πιστοποιητικού ασφαλείας για υπηρεσίες δικτύου Yggdrasil με συνήθη μέσα όπως π.χ. .
Ως εκ τούτου, δημιουργήσαμε το δικό μας κέντρο πιστοποίησης - . Η συντριπτική πλειονότητα των υπηρεσιών στο δίκτυο Medium υπογράφεται από το πιστοποιητικό ασφαλείας ρίζας της ενδιάμεσης αρχής πιστοποίησης Ασφαλής διακομιστής CA για επικύρωση μεσαίου τομέα.
Φυσικά, λήφθηκε υπόψη η πιθανότητα παραβίασης του βασικού πιστοποιητικού της αρχής πιστοποίησης - αλλά εδώ το πιστοποιητικό είναι πιο απαραίτητο για την επιβεβαίωση της ακεραιότητας της μετάδοσης δεδομένων και την εξάλειψη της πιθανότητας επιθέσεων MITM.
Οι υπηρεσίες μεσαίου δικτύου από διαφορετικούς παρόχους έχουν διαφορετικά πιστοποιητικά ασφαλείας, με τον ένα ή τον άλλο τρόπο υπογεγραμμένα από την αρχή πιστοποίησης root. Ωστόσο, οι χειριστές Root CA δεν μπορούν να παρακολουθούν κρυπτογραφημένη κίνηση από υπηρεσίες στις οποίες έχουν υπογράψει πιστοποιητικά ασφαλείας (βλ. ).
Όσοι ενδιαφέρονται ιδιαίτερα για την ασφάλειά τους μπορούν να χρησιμοποιήσουν μέσα όπως πρόσθετη προστασία, όπως π.χ и .
Επί του παρόντος, η υποδομή δημόσιου κλειδιού του δικτύου Medium έχει τη δυνατότητα να ελέγχει την κατάσταση ενός πιστοποιητικού χρησιμοποιώντας το πρωτόκολλο είτε μέσω χρήσης .
Φτανω στο σημειο
Ο Χρήστης άρχισε να αναπτύσσει μια μηχανή αναζήτησης για υπηρεσίες web που βρίσκονται στο δίκτυο Yggdrasil. Μια σημαντική πτυχή είναι το γεγονός ότι ο προσδιορισμός των διευθύνσεων IPv6 των υπηρεσιών κατά την εκτέλεση μιας αναζήτησης πραγματοποιείται με την αποστολή αιτήματος σε διακομιστή DNS που βρίσκεται μέσα στο δίκτυο Medium.
Το κύριο TLD είναι .ygg. Τα περισσότερα ονόματα τομέα έχουν αυτό το TLD, με δύο εξαιρέσεις: .isp и .gg.
Η μηχανή αναζήτησης είναι υπό ανάπτυξη, αλλά η χρήση της είναι ήδη δυνατή σήμερα - απλώς επισκεφθείτε τον ιστότοπο .
Μπορείτε να βοηθήσετε την ανάπτυξη του έργου, .
Η Medium δημιούργησε μια νέα αρχή πιστοποίησης, την Medium Global Root CA. Ποιους θα επηρεάσουν οι αλλαγές;
Χθες, ολοκληρώθηκε ο δημόσιος έλεγχος της λειτουργικότητας του κέντρου πιστοποίησης CA Medium Root. Στο τέλος των δοκιμών, διορθώθηκαν σφάλματα στη λειτουργία των υπηρεσιών υποδομής δημόσιου κλειδιού και δημιουργήθηκε ένα νέο πιστοποιητικό ρίζας της αρχής πιστοποίησης «Medium Global Root CA».
Όλες οι αποχρώσεις και τα χαρακτηριστικά του PKI ελήφθησαν υπόψη - τώρα το νέο πιστοποιητικό CA "Medium Global Root CA" θα εκδοθεί μόνο δέκα χρόνια αργότερα (μετά την ημερομηνία λήξης του). Πλέον, τα πιστοποιητικά ασφαλείας εκδίδονται μόνο από ενδιάμεσες αρχές πιστοποίησης - για παράδειγμα, "Medium Domain Validation Secure Server CA".
Πώς μοιάζει τώρα η αλυσίδα εμπιστοσύνης πιστοποιητικών;
Τι πρέπει να κάνετε για να λειτουργήσουν όλα εάν είστε χρήστης:
Δεδομένου ότι ορισμένες υπηρεσίες χρησιμοποιούν HSTS, πριν χρησιμοποιήσετε πόρους δικτύου Μεσαίων, πρέπει να διαγράψετε δεδομένα από πόρους intranet μεσαίου. Μπορείτε να το κάνετε αυτό στην καρτέλα Ιστορικό του προγράμματος περιήγησής σας.
Είναι επίσης απαραίτητο κέντρο πιστοποίησης "Medium Global Root CA".
Τι πρέπει να κάνετε για να λειτουργήσουν όλα εάν είστε διαχειριστής συστήματος:
Πρέπει να εκδώσετε ξανά το πιστοποιητικό για την υπηρεσία σας στη σελίδα (η υπηρεσία είναι διαθέσιμη μόνο στο δίκτυο Medium).
Πιστοποιητικά ασφαλείας για κάθε σπίτι - πώς να δημιουργήσετε τη δική σας υπηρεσία στο δίκτυο Yggdrasil και να εκδώσετε ένα έγκυρο πιστοποιητικό SSL για αυτό
Λόγω της αύξησης του αριθμού των υπηρεσιών intranet στο δίκτυο Medium, έχει αυξηθεί η ανάγκη έκδοσης νέων πιστοποιητικών ασφαλείας και διαμόρφωσης των υπηρεσιών τους ώστε να υποστηρίζουν SSL.
Δεδομένου ότι το Habr είναι ένας τεχνικός πόρος, σε κάθε νέα σύνοψη ένα από τα θέματα της ημερήσιας διάταξης θα αποκαλύπτει τα τεχνικά χαρακτηριστικά της υποδομής δικτύου Μεσαίου. Για παράδειγμα, παρακάτω είναι αναλυτικές οδηγίες για την έκδοση πιστοποιητικού SSL για την υπηρεσία σας.
Τα παραδείγματα θα υποδεικνύουν το όνομα τομέα τομέας.ygg, το οποίο πρέπει να αντικατασταθεί με το όνομα τομέα της υπηρεσίας σας.
Βήμα 1. Δημιουργήστε ιδιωτικό κλειδί και παραμέτρους Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Στη συνέχεια:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Βήμα 2. Δημιουργήστε ένα αίτημα υπογραφής πιστοποιητικού
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confΠεριεχόμενα αρχείου domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Βήμα 3. Υποβάλετε αίτημα πιστοποιητικού
Για να το κάνετε αυτό, αντιγράψτε τα περιεχόμενα του αρχείου domain.ygg.csr και επικολλήστε το στο πεδίο κειμένου στον ιστότοπο .
Ακολουθήστε τις οδηγίες που παρέχονται στον ιστότοπο και, στη συνέχεια, κάντε κλικ στο «Υποβολή». Εάν είναι επιτυχής, θα σταλεί ένα μήνυμα στη διεύθυνση email που ορίσατε και θα περιέχει ένα συνημμένο με τη μορφή πιστοποιητικού υπογεγραμμένου από μια ενδιάμεση αρχή πιστοποίησης.
Βήμα 4. Ρυθμίστε τον διακομιστή ιστού σας
Εάν χρησιμοποιείτε το nginx ως διακομιστή ιστού, χρησιμοποιήστε την ακόλουθη διαμόρφωση:
αρχείο domain.ygg.conf στον κατάλογο /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
αρχείο ssl-params.conf στον κατάλογο /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
αρχείο domain.ygg.conf στον κατάλογο /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Το πιστοποιητικό που λάβατε μέσω email πρέπει να αντιγραφεί στη διεύθυνση: /etc/ssl/certs/domain.ygg.crt. Ιδιωτικό κλειδί (domain.ygg.key) τοποθετήστε το σε έναν κατάλογο /etc/ssl/private/.
Βήμα 5. Κάντε επανεκκίνηση του διακομιστή ιστού σας
sudo service nginx restartΤο δωρεάν Διαδίκτυο στη Ρωσία ξεκινά από εσάς
Μπορείτε να παρέχετε κάθε δυνατή βοήθεια για τη δημιουργία ενός δωρεάν Διαδικτύου στη Ρωσία σήμερα. Έχουμε συντάξει μια ολοκληρωμένη λίστα με τον τρόπο με τον οποίο ακριβώς μπορείτε να βοηθήσετε το δίκτυο:
- Ενημερώστε τους φίλους και τους συναδέλφους σας για το δίκτυο Medium. Μερίδιο σε αυτό το άρθρο σε κοινωνικά δίκτυα ή προσωπικό ιστολόγιο
- Λάβετε μέρος στη συζήτηση τεχνικών θεμάτων στο δίκτυο Medium
- Δημιουργήστε την υπηρεσία web σας στο δίκτυο Yggdrasil και προσθέστε την σε
- Σήκωσε το στο δίκτυο Medium
Προηγούμενες εκδόσεις:
Δείτε επίσης:
Είμαστε στο Telegram:
Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. , Σας παρακαλούμε.
Εναλλακτική ψηφοφορία: είναι σημαντικό για εμάς να γνωρίζουμε τη γνώμη όσων δεν έχουν πλήρη λογαριασμό στο Habré
-
↑
-
↓
Ψήφισαν 7 χρήστες. 2 χρήστες απείχαν.
Πηγή: www.habr.com