Escuchamos la frase “seguridad nacional” todo el tiempo, pero cuando el gobierno comienza a monitorear nuestras comunicaciones, grabándolas sin sospechas creíbles, base legal y sin ningún propósito aparente, debemos preguntarnos: ¿realmente están protegiendo la seguridad nacional o ¿Están protegiendo a los suyos?
- Edward Snowden
Este compendio pretende aumentar el interés de la Comunidad por la cuestión de la privacidad, que, a la luz de se vuelve más relevante que nunca.
En la agenda:
Los entusiastas de la comunidad del proveedor descentralizado de Internet "Medium" están creando su propio motor de búsqueda
Medium ha establecido una nueva autoridad de certificación, Medium Global Root CA. ¿Quiénes se verán afectados por los cambios?
Certificados de seguridad para cada hogar: cómo crear su propio servicio en la red Yggdrasil y emitir un certificado SSL válido para él
Recuérdame: ¿qué es “Medio”?
Medio (Inglés Medio - “intermediario”, eslogan original - No pidas tu privacidad. Tomar de nuevo; también en inglés la palabra mediano significa "intermedio"): un proveedor de Internet descentralizado ruso que proporciona servicios de acceso a la red sin costo.
Nombre completo: Proveedor de Servicios de Internet Mediano. Inicialmente el proyecto fue concebido como в .
Formada en abril de 2019 como parte de la creación de un entorno de telecomunicaciones independiente al brindar a los usuarios finales acceso a los recursos de la red Yggdrasil mediante el uso de tecnología de transmisión de datos inalámbrica Wi-Fi.
Más información sobre el tema:
Los entusiastas de la comunidad del proveedor descentralizado de Internet "Medium" están creando su propio motor de búsqueda
Originalmente en línea , que el proveedor descentralizado de servicios de Internet Medium utiliza como transporte, no tenía su propio servidor DNS ni infraestructura de clave pública; sin embargo, la necesidad de emitir certificados de seguridad para los servicios de red de Medium resolvió estos dos problemas.
¿Por qué necesita PKI si Yggdrasil, listo para usar, brinda la capacidad de cifrar el tráfico entre pares?No es necesario utilizar HTTPS para conectarse a servicios web en la red Yggdrasil si se conecta a ellos a través de un enrutador de red Yggdrasil que se ejecuta localmente.
De hecho: el transporte de Yggdrasil está a la par le permite utilizar recursos de forma segura dentro de la red Yggdrasil: la capacidad de realizar completamente excluido.
La situación cambia radicalmente si se accede a los recursos de la intranet de Yggdarsil no directamente, sino a través de un nodo intermedio: el punto de acceso a la red Medium, administrado por su operador.
En este caso, quién puede comprometer los datos que transmites:
- Operador de punto de acceso. Es obvio que el operador actual del punto de acceso a la red Medium puede escuchar el tráfico no cifrado que pasa por su equipo.
- intruso (). El medio tiene un problema similar a , solo en relación con los nodos de entrada e intermedios.
Esto es lo que parece
Solución: para acceder a los servicios web dentro de la red Yggdrasil, utilice el protocolo HTTPS (nivel 7 ). El problema es que no es posible emitir un certificado de seguridad genuino para los servicios de red de Yggdrasil a través de medios normales como .
Por lo tanto, establecimos nuestro propio centro de certificación: . La gran mayoría de los servicios en la red Medium están firmados por el certificado de seguridad raíz de la autoridad de certificación intermedia Medium Domain Validation Secure Server CA.
Por supuesto, se tuvo en cuenta la posibilidad de comprometer el certificado raíz de la autoridad de certificación, pero aquí el certificado es más necesario para confirmar la integridad de la transmisión de datos y eliminar la posibilidad de ataques MITM.
Los servicios de red mediana de diferentes operadores tienen diferentes certificados de seguridad, de una forma u otra firmados por la autoridad de certificación raíz. Sin embargo, los operadores de CA raíz no pueden espiar el tráfico cifrado de los servicios para los que han firmado certificados de seguridad (consulte ).
Aquellos que estén especialmente preocupados por su seguridad pueden utilizar medios como protección adicional, como и .
Actualmente, la infraestructura de clave pública de la red Medium tiene la capacidad de comprobar el estado de un certificado mediante el protocolo o mediante el uso .
Más cerca del punto
Usuario comenzó a desarrollar un motor de búsqueda para servicios web ubicados en la red Yggdrasil. Un aspecto importante es el hecho de que la determinación de las direcciones IPv6 de los servicios al realizar una búsqueda se realiza enviando una solicitud a un servidor DNS ubicado dentro de la red Medium.
El TLD principal es .ygg. La mayoría de los nombres de dominio tienen este TLD, con dos excepciones: .isp и .gg.
El motor de búsqueda está en desarrollo, pero su uso ya es posible hoy en día: basta con visitar el sitio web. .
Tú puedes ayudar al desarrollo del proyecto, .
Medium ha establecido una nueva autoridad de certificación, Medium Global Root CA. ¿Quiénes se verán afectados por los cambios?
Ayer se completaron las pruebas públicas de la funcionalidad del centro de certificación Medium Root CA. Al final de las pruebas, se corrigieron errores en el funcionamiento de los servicios de infraestructura de clave pública y se creó un nuevo certificado raíz de la autoridad de certificación “Medium Global Root CA”.
Se tuvieron en cuenta todos los matices y características de PKI: ahora el nuevo certificado de CA "Medium Global Root CA" se emitirá solo diez años después (después de su fecha de vencimiento). Ahora los certificados de seguridad son emitidos únicamente por autoridades de certificación intermedias, por ejemplo, "CA de servidor seguro de validación de dominio medio".
¿Cómo es ahora la cadena de confianza de los certificados?
Qué se debe hacer para que todo funcione si eres usuario:
Dado que algunos servicios utilizan HSTS, antes de utilizar los recursos de la red Medium, debe eliminar datos de los recursos de la intranet Medium. Puede hacer esto en la pestaña Historial de su navegador.
Tambien es necesario centro de certificación "Medium Global Root CA".
Qué se debe hacer para que todo funcione si usted es un operador del sistema:
Debes volver a emitir el certificado de tu servicio en la página. (el servicio está disponible sólo en la red Medium).
Certificados de seguridad para cada hogar: cómo crear su propio servicio en la red Yggdrasil y emitir un certificado SSL válido para él
Debido al crecimiento en el número de servicios de intranet de la red Medium, ha aumentado la necesidad de emitir nuevos certificados de seguridad y configurar sus servicios para que admitan SSL.
Dado que Habr es un recurso técnico, en cada nuevo resumen uno de los puntos de la agenda revelará las características técnicas de la infraestructura de la red Medium. Por ejemplo, a continuación encontrará instrucciones completas para emitir un certificado SSL para su servicio.
Los ejemplos indicarán el nombre del dominio. dominio.ygg, que debe ser reemplazado con el nombre de dominio de su servicio.
Paso 1. Generar clave privada y parámetros Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Entonces:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Paso 2. Crear una solicitud de firma de certificado
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confContenido del archivo dominio.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Paso 3. Enviar una solicitud de certificado
Para hacer esto, copie el contenido del archivo. dominio.ygg.csr y pégalo en el campo de texto del sitio .
Siga las instrucciones proporcionadas en el sitio web y luego haga clic en "Enviar". Si tiene éxito, se enviará un mensaje a la dirección de correo electrónico que especificó que contiene un archivo adjunto en forma de certificado firmado por una autoridad de certificación intermedia.
Paso 4. Configura tu servidor web
Si está utilizando nginx como servidor web, utilice la siguiente configuración:
Expediente dominio.ygg.conf en el directorio /etc/nginx/sitios-disponibles/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
Expediente ssl-params.conf en el directorio /etc/nginx/fragmentos/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Expediente dominio.ygg.conf en el directorio /etc/nginx/fragmentos/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
El certificado que recibió por correo electrónico debe enviarse con copia a: /etc/ssl/certs/dominio.ygg.crt. Llave privada (dominio.ygg.clave) colocarlo en un directorio /etc/ssl/privado/.
Paso 5. Reinicie su servidor web
sudo service nginx restartInternet gratis en Rusia comienza contigo
Puede brindar toda la ayuda posible para el establecimiento de una Internet gratuita en Rusia hoy. Hemos compilado una lista completa de exactamente cómo puede ayudar a la red:
- Cuéntele a sus amigos y colegas sobre la red Medium. Compartir a este artículo en redes sociales o blog personal
- Participe en la discusión de cuestiones técnicas en la red Medium.
- Crea tu servicio web en la red Yggdrasil y agrégalo a
- Alza tu a la red Media
Lanzamientos Anteriores:
Ver también:
Nosotros en Telegram:
Solo los usuarios registrados pueden participar en la encuesta. por favor
Votación alternativa: para nosotros es importante conocer la opinión de quienes no tienen una cuenta completa en Habré
-
↑
-
↓
7 usuarios votaron. 2 usuarios se abstuvieron.
Fuente: habr.com