Ni aŭdas la frazon "nacia sekureco" la tutan tempon, sed kiam la registaro komencas kontroli niajn komunikadojn, registrante ilin sen kredinda suspekto, jura bazo kaj sen ajna ŝajna celo, ni devas demandi al ni la demandon: ĉu ili vere protektas nacian sekurecon aŭ ĉu ili protektas siajn proprajn?
- Edward Snowden
Ĉi tiu digesto celas pliigi la intereson de la Komunumo pri la temo de privateco, kiu, en lumo de fariĝas pli grava ol iam antaŭe.
En la tagordo:
Entuziasmuloj de la komunumo de la malcentralizita interreta provizanto "Medium" kreas sian propran serĉilon
Medium establis novan atestan aŭtoritaton, Medium Global Root CA. Kiu estos tuŝita de la ŝanĝoj?
Sekurecaj atestiloj por ĉiu hejmo - kiel krei vian propran servon en la reto Yggdrasil kaj elsendi validan SSL-atestilon por ĝi
Rememorigu min - kio estas "Mediumo"?
mediumo (Eng. mediumo - "peranto", originala slogano - Ne petu vian privatecon. Reprenu tion; ankaŭ en la angla la vorto meza signifas "meza") - rusa malcentralizita interreta provizanto provizanta retajn servojn senpage.
Plena nomo: Meza Interreta Servoprovizanto. La projekto estis origine elpensita kiel в .
Formita en aprilo 2019 kiel parto de la kreado de sendependa telekomunikada medio provizante finajn uzantojn aliron al Yggdrasil-retaj rimedoj per la uzo de Wi-Fi sendrata transdona teknologio.
Pliaj informoj pri la temo:
Entuziasmuloj de la komunumo de la malcentralizita interreta provizanto "Medium" kreas sian propran serĉilon
Origine rete , kiun la malcentralizita retservoprovizanto Medium uzas kiel transporton, ne havis propran DNS-servilon aŭ publikan ŝlosilan infrastrukturon - tamen la neceso eldoni sekurecajn atestojn por Medium-retaj servoj solvis ĉi tiujn du problemojn.
Kial vi bezonas PKI se Yggdrasil el la skatolo provizas la kapablon ĉifri trafikon inter samuloj?Ne necesas uzi HTTPS por konekti al retservoj en la reto Yggdrasil se vi konektas al ili per loke funkcianta Yggdrasil-reto-enkursigilo.
Efektive: Yggdrasil-transporto estas egale permesas vin sekure uzi rimedojn ene de la reto Yggdrasil - la kapablo konduki tute ekskludita.
La situacio ŝanĝiĝas radikale se vi aliras la intraretajn rimedojn de Yggdarsil ne rekte, sed per intera nodo - la Meza reto alirpunkto, kiu estas administrita de ĝia funkciigisto.
En ĉi tiu kazo, kiu povas kompromiti la datumojn, kiujn vi transdonas:
- Operaciisto de alirpunkto. Estas evidente, ke la nuna funkciigisto de la Meza reto-alirpunkto povas subaŭskulti neĉifritan trafikon, kiu pasas tra sia ekipaĵo.
- entrudulo (). Medium havas problemon similan al , nur rilate al enigo kaj mezaj nodoj.
Jen kiel ĝi aspektas
decido: por aliri retservojn ene de la reto Yggdrasil, uzu la HTTPS-protokolon (nivelo 7 ). La problemo estas, ke ne eblas elsendi aŭtentan sekurecan atestilon por Yggdrasil-retaj servoj per konvenciaj rimedoj kiel ekzemple .
Tial ni establis nian propran atestan centron - . La granda plimulto de servoj en la Meza reto estas subskribita de la radika sekureca atestilo de la meza atestadaŭtoritato Medium Domain Validation Secure Server CA.
La ebleco kompromiti la radikan atestilon de la atestadaŭtoritato estis, kompreneble, konsiderata - sed ĉi tie la atestilo estas pli necesa por konfirmi la integrecon de transdono de datumoj kaj forigi la eblecon de MITM-atakoj.
Mezaj retaj servoj de malsamaj funkciigistoj havas malsamajn sekurecajn atestilojn, unumaniere aŭ alian subskribitajn de la radika atestadaŭtoritato. Tamen, Root CA-funkciigistoj ne povas subaŭskulti ĉifritan trafikon de servoj al kiuj ili subskribis sekurecajn atestojn (vidu ).
Tiuj, kiuj speciale zorgas pri sia sekureco, povas uzi tiajn rimedojn kiel kroman protekton, kiel ekzemple и .
Nuntempe, la publika ŝlosila infrastrukturo de la Meza reto havas la kapablon kontroli la statuson de atestilo uzante la protokolon. aŭ per uzo .
Iru al la punkto
Uzanto komencis evoluigi serĉilon por retservoj situantaj sur la Yggdrasil-reto. Grava aspekto estas la fakto, ke la determino de IPv6-adresoj de servoj dum serĉado estas farita sendante peton al DNS-servilo situanta ene de la Meza reto.
La ĉefa TLD estas .ygg. Plej multaj domajnaj nomoj havas ĉi tiun TLD, kun du esceptoj: .isp и .gg.
La serĉilo estas evoluinta, sed ĝia uzo jam eblas hodiaŭ - simple vizitu la retejon .
Vi povas helpi la disvolviĝon de la projekto, .
Medium establis novan atestan aŭtoritaton, Medium Global Root CA. Kiu estos tuŝita de la ŝanĝoj?
Hieraŭ, publika testado de la funkcieco de la Medium Root CA atesta centro estis kompletigita. Ĉe la fino de testado, eraroj en funkciado de publikaj ŝlosilaj infrastrukturaj servoj estis korektitaj kaj nova radika atestilo de la atestadaŭtoritato "Medium Global Root CA" estis kreita.
Ĉiuj nuancoj kaj trajtoj de PKI estis konsiderataj - nun la nova CA-atestilo "Medium Global Root CA" estos eldonita nur dek jarojn poste (post ĝia limdato). Nun sekurecaj atestiloj estas eldonitaj nur de mezaj atestadaj aŭtoritatoj - ekzemple, "Medium Domain Validation Secure Server CA".
Kiel aspektas nun la atestila fidĉeno?
Kion oni devas fari por ke ĉio funkciu se vi estas uzanto:
Ĉar iuj servoj uzas HSTS, antaŭ ol uzi Mez-retajn rimedojn, vi devas forigi datumojn de Mezaj intraretaj rimedoj. Vi povas fari tion en la langeto Historio de via retumilo.
Ĝi ankaŭ necesas atestcentro "Medium Global Root CA".
Kion oni devas fari por ke ĉio funkciu, se vi estas sistemfunkciigisto:
Vi devas reeldoni la atestilon por via servo sur la paĝo (la servo disponeblas nur en la Meza reto).
Sekurecaj atestiloj por ĉiu hejmo - kiel krei vian propran servon en la reto Yggdrasil kaj elsendi validan SSL-atestilon por ĝi
Pro la kresko de la nombro da intraretaj servoj en la Meza reto, pliiĝis la bezono eldoni novajn sekurecajn atestilojn kaj agordi iliajn servojn por ke ili subtenu SSL.
Ĉar Habr estas teknika rimedo, en ĉiu nova resumo unu el la tagordaj eroj malkaŝos la teknikajn trajtojn de la Meza reto-infrastrukturo. Ekzemple, malsupre estas ampleksaj instrukcioj por eldoni SSL-atestilon por via servo.
La ekzemploj indikos la domajnan nomon domajno.ygg, kiu devas esti anstataŭigita per la domajna nomo de via servo.
Ŝtupo 1. Generu privatan ŝlosilon kaj Diffie-Hellman-parametrojn
openssl genrsa -out domain.ygg.key 2048Tiam:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Ŝtupo 2. Kreu peton de subskribo de atestilo
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confDosiera enhavo domajno.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Ŝtupo 3. Sendu atestilpeton
Por fari tion, kopiu la enhavon de la dosiero domajno.ygg.csr kaj algluu ĝin en la tekstkampon de la retejo .
Sekvu la instrukciojn provizitajn en la retejo, tiam alklaku "Submeti". Se sukcesa, mesaĝo estos sendita al la retpoŝta adreso, kiun vi specifis, enhavanta aldonaĵon en formo de atestilo subskribita de meza atestadaŭtoritato.
Ŝtupo 4. Agordu vian retservilon
Se vi uzas nginx kiel vian retservilon, uzu la sekvan agordon:
dosiero domajno.ygg.conf en la dosierujo /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
dosiero ssl-params.conf en la dosierujo /etc/nginx/fragmentoj/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
dosiero domajno.ygg.conf en la dosierujo /etc/nginx/fragmentoj/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
La atestilo, kiun vi ricevis retpoŝte, devas esti kopiita al: /etc/ssl/certs/domain.ygg.crt. Privata ŝlosilo (domajno.ygg.key) metu ĝin en dosierujon /etc/ssl/private/.
Ŝtupo 5. Rekomencu vian retservilon
sudo service nginx restartSenpaga Interreto en Rusio komenciĝas per vi
Vi povas doni ĉian eblan helpon por la starigo de senpaga Interreto en Rusio hodiaŭ. Ni kompilis ampleksan liston de precize kiel vi povas helpi la reton:
- Diru al viaj amikoj kaj kolegoj pri la Medium-reto. Kunhavigi al ĉi tiu artikolo pri sociaj retoj aŭ persona blogo
- Partoprenu en la diskuto pri teknikaj aferoj en la Medium-reto
- Kreu vian retservon en la reto Yggdrasil kaj aldonu ĝin al
- Levu vian al la Meza reto
Antaŭaj eldonoj:
Legu ankaŭ:
Ni estas ĉe Telegram:
Nur registritaj uzantoj povas partopreni la enketon. , bonvolu.
Alternativa voĉdonado: gravas por ni koni la opinion de tiuj, kiuj ne havas plenan konton pri Habré
-
↑
-
↓
Voĉdonis 7 uzantoj. 2 uzantoj sindetenis.
fonto: www.habr.com