Ni aŭdas la frazon "nacia sekureco" la tutan tempon, sed kiam la registaro komencas kontroli niajn komunikadojn, registrante ilin sen kredinda suspekto, jura bazo kaj sen ajna ŝajna celo, ni devas demandi al ni la demandon: ĉu ili vere protektas nacian sekurecon aŭ ĉu ili protektas siajn proprajn?
- Edward Snowden
Ĉi tiu digesto celas pliigi la intereson de la Komunumo pri la temo de privateco, kiu, en lumo de lastaj eventoj fariĝas pli grava ol iam antaŭe.
En la tagordo:
Entuziasmuloj de la komunumo de la malcentralizita interreta provizanto "Medium" kreas sian propran serĉilon
Medium establis novan atestan aŭtoritaton, Medium Global Root CA. Kiu estos tuŝita de la ŝanĝoj?
Sekurecaj atestiloj por ĉiu hejmo - kiel krei vian propran servon en la reto Yggdrasil kaj elsendi validan SSL-atestilon por ĝi
Rememorigu min - kio estas "Mediumo"?
mediumo (Eng. mediumo - "peranto", originala slogano - Ne petu vian privatecon. Reprenu tion; ankaŭ en la angla la vorto meza signifas "meza") - rusa malcentralizita interreta provizanto provizanta retajn servojn Yggdrasil senpage.
Formita en aprilo 2019 kiel parto de la kreado de sendependa telekomunikada medio provizante finajn uzantojn aliron al Yggdrasil-retaj rimedoj per la uzo de Wi-Fi sendrata transdona teknologio.
Entuziasmuloj de la komunumo de la malcentralizita interreta provizanto "Medium" kreas sian propran serĉilon
Origine rete Yggdrasil, kiun la malcentralizita retservoprovizanto Medium uzas kiel transporton, ne havis propran DNS-servilon aŭ publikan ŝlosilan infrastrukturon - tamen la neceso eldoni sekurecajn atestojn por Medium-retaj servoj solvis ĉi tiujn du problemojn.
Kial vi bezonas PKI se Yggdrasil el la skatolo provizas la kapablon ĉifri trafikon inter samuloj?Ne necesas uzi HTTPS por konekti al retservoj en la reto Yggdrasil se vi konektas al ili per loke funkcianta Yggdrasil-reto-enkursigilo.
Efektive: Yggdrasil-transporto estas egale protokolo permesas vin sekure uzi rimedojn ene de la reto Yggdrasil - la kapablo konduki MITM-atakoj tute ekskludita.
La situacio ŝanĝiĝas radikale se vi aliras la intraretajn rimedojn de Yggdarsil ne rekte, sed per intera nodo - la Meza reto alirpunkto, kiu estas administrita de ĝia funkciigisto.
En ĉi tiu kazo, kiu povas kompromiti la datumojn, kiujn vi transdonas:
Operaciisto de alirpunkto. Estas evidente, ke la nuna funkciigisto de la Meza reto-alirpunkto povas subaŭskulti neĉifritan trafikon, kiu pasas tra sia ekipaĵo.
decido: por aliri retservojn ene de la reto Yggdrasil, uzu la HTTPS-protokolon (nivelo 7 OSI-modeloj). La problemo estas, ke ne eblas elsendi aŭtentan sekurecan atestilon por Yggdrasil-retaj servoj per konvenciaj rimedoj kiel ekzemple Lasita-a Kryri.
Tial ni establis nian propran atestan centron - "Meza Tutmonda Radiko CA". La granda plimulto de servoj en la Meza reto estas subskribita de la radika sekureca atestilo de la meza atestadaŭtoritato Medium Domain Validation Secure Server CA.
La ebleco kompromiti la radikan atestilon de la atestadaŭtoritato estis, kompreneble, konsiderata - sed ĉi tie la atestilo estas pli necesa por konfirmi la integrecon de transdono de datumoj kaj forigi la eblecon de MITM-atakoj.
Mezaj retaj servoj de malsamaj funkciigistoj havas malsamajn sekurecajn atestilojn, unumaniere aŭ alian subskribitajn de la radika atestadaŭtoritato. Tamen, Root CA-funkciigistoj ne povas subaŭskulti ĉifritan trafikon de servoj al kiuj ili subskribis sekurecajn atestojn (vidu "Kio estas CSR?").
Tiuj, kiuj speciale zorgas pri sia sekureco, povas uzi tiajn rimedojn kiel kroman protekton, kiel ekzemple PGP и simila.
Nuntempe, la publika ŝlosila infrastrukturo de la Meza reto havas la kapablon kontroli la statuson de atestilo uzante la protokolon. OCSP aŭ per uzo C.R.L..
Iru al la punkto
Uzanto @NXShock komencis evoluigi serĉilon por retservoj situantaj sur la Yggdrasil-reto. Grava aspekto estas la fakto, ke la determino de IPv6-adresoj de servoj dum serĉado estas farita sendante peton al DNS-servilo situanta ene de la Meza reto.
La ĉefa TLD estas .ygg. Plej multaj domajnaj nomoj havas ĉi tiun TLD, kun du esceptoj: .isp и .gg.
La serĉilo estas evoluinta, sed ĝia uzo jam eblas hodiaŭ - simple vizitu la retejon serĉo.medium.isp.
Medium establis novan atestan aŭtoritaton, Medium Global Root CA. Kiu estos tuŝita de la ŝanĝoj?
Hieraŭ, publika testado de la funkcieco de la Medium Root CA atesta centro estis kompletigita. Ĉe la fino de testado, eraroj en funkciado de publikaj ŝlosilaj infrastrukturaj servoj estis korektitaj kaj nova radika atestilo de la atestadaŭtoritato "Medium Global Root CA" estis kreita.
Ĉiuj nuancoj kaj trajtoj de PKI estis konsiderataj - nun la nova CA-atestilo "Medium Global Root CA" estos eldonita nur dek jarojn poste (post ĝia limdato). Nun sekurecaj atestiloj estas eldonitaj nur de mezaj atestadaj aŭtoritatoj - ekzemple, "Medium Domain Validation Secure Server CA".
Kiel aspektas nun la atestila fidĉeno?
Kion oni devas fari por ke ĉio funkciu se vi estas uzanto:
Ĉar iuj servoj uzas HSTS, antaŭ ol uzi Mez-retajn rimedojn, vi devas forigi datumojn de Mezaj intraretaj rimedoj. Vi povas fari tion en la langeto Historio de via retumilo.
Kion oni devas fari por ke ĉio funkciu, se vi estas sistemfunkciigisto:
Vi devas reeldoni la atestilon por via servo sur la paĝo pki.medium.isp (la servo disponeblas nur en la Meza reto).
Sekurecaj atestiloj por ĉiu hejmo - kiel krei vian propran servon en la reto Yggdrasil kaj elsendi validan SSL-atestilon por ĝi
Pro la kresko de la nombro da intraretaj servoj en la Meza reto, pliiĝis la bezono eldoni novajn sekurecajn atestilojn kaj agordi iliajn servojn por ke ili subtenu SSL.
Ĉar Habr estas teknika rimedo, en ĉiu nova resumo unu el la tagordaj eroj malkaŝos la teknikajn trajtojn de la Meza reto-infrastrukturo. Ekzemple, malsupre estas ampleksaj instrukcioj por eldoni SSL-atestilon por via servo.
La ekzemploj indikos la domajnan nomon domajno.ygg, kiu devas esti anstataŭigita per la domajna nomo de via servo.
Ŝtupo 1. Generu privatan ŝlosilon kaj Diffie-Hellman-parametrojn
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Ŝtupo 3. Sendu atestilpeton
Por fari tion, kopiu la enhavon de la dosiero domajno.ygg.csr kaj algluu ĝin en la tekstkampon de la retejo pki.medium.isp.
Sekvu la instrukciojn provizitajn en la retejo, tiam alklaku "Submeti". Se sukcesa, mesaĝo estos sendita al la retpoŝta adreso, kiun vi specifis, enhavanta aldonaĵon en formo de atestilo subskribita de meza atestadaŭtoritato.
Ŝtupo 4. Agordu vian retservilon
Se vi uzas nginx kiel vian retservilon, uzu la sekvan agordon:
dosiero domajno.ygg.conf en la dosierujo /etc/nginx/sites-available/
La atestilo, kiun vi ricevis retpoŝte, devas esti kopiita al: /etc/ssl/certs/domain.ygg.crt. Privata ŝlosilo (domajno.ygg.key) metu ĝin en dosierujon /etc/ssl/private/.
Ŝtupo 5. Rekomencu vian retservilon
sudo service nginx restart
Senpaga Interreto en Rusio komenciĝas per vi
Vi povas doni ĉian eblan helpon por la starigo de senpaga Interreto en Rusio hodiaŭ. Ni kompilis ampleksan liston de precize kiel vi povas helpi la reton:
Diru al viaj amikoj kaj kolegoj pri la Medium-reto. Kunhavigi referenco al ĉi tiu artikolo pri sociaj retoj aŭ persona blogo
Partoprenu en la diskuto pri teknikaj aferoj en la Medium-reto sur GitHub
Kreu vian retservon en la reto Yggdrasil kaj aldonu ĝin al DNS de la Meza reto