Me kuuleme kogu aeg fraasi "riiklik julgeolek", kuid kui valitsus hakkab meie suhtlust jälgima, salvestades seda ilma usutava kahtluseta, seadusliku aluseta ja ilma nähtava eesmärgita, peame esitama endale küsimuse: kas need tõesti kaitsevad riigi julgeolekut või kas nad kaitsevad omasid?
- Edward Snowden
Selle kokkuvõtte eesmärk on suurendada ühenduse huvi eraelu puutumatuse vastu, mis, pidades silmas muutub asjakohasemaks kui kunagi varem.
Päevakorras:
Detsentraliseeritud Interneti-teenuse pakkuja "Medium" kogukonna entusiastid loovad oma otsingumootori
Medium on loonud uue sertifitseerimisasutuse Medium Global Root CA. Keda muudatused puudutavad?
Turvasertifikaadid igale kodule – kuidas luua Yggdrasili võrgus oma teenus ja väljastada sellele kehtiv SSL-sertifikaat
Tuleta mulle meelde – mis on keskmine?
Keskmine (Inglise Keskmine - "vahendaja", algne hüüdlause - Ärge küsige oma privaatsust. Võtma tagasi; ka inglise keeles sõna keskmine tähendab "vahetaset" - Venemaa detsentraliseeritud Interneti-teenuse pakkuja, kes pakub võrgule juurdepääsu teenuseid tasuta.
Täisnimi: Keskmine Interneti-teenuse pakkuja. Algselt kavandati projekt kui в .
Moodustati 2019. aasta aprillis osana sõltumatu telekommunikatsioonikeskkonna loomisest, pakkudes lõppkasutajatele juurdepääsu Yggdrasili võrguressurssidele Wi-Fi traadita andmeedastustehnoloogia abil.
Rohkem infot teema kohta:
Detsentraliseeritud Interneti-teenuse pakkuja "Medium" kogukonna entusiastid loovad oma otsingumootori
Algselt võrgus , mida detsentraliseeritud Interneti-teenuse pakkuja Medium transpordina kasutab, ei olnud oma DNS-serverit ega avaliku võtme infrastruktuuri – need kaks probleemi lahendas aga vajadus Mediumi võrguteenustele turvasertifikaate väljastada.
Miks on teil vaja PKI-d, kui Yggdrasil pakub võimalust krüpteerida liiklust kaaslaste vahel?Kui loote nendega ühenduse kohalikult töötava Yggdrasili võrguruuteri kaudu, pole Yggdrasili võrgus veebiteenustega ühenduse loomiseks vaja kasutada HTTPS-i.
Tõepoolest: Yggdrasili transport on tasemel võimaldab turvaliselt kasutada ressursse Yggdrasili võrgu sees – läbiviimise võime täielikult välistatud.
Olukord muutub radikaalselt, kui pääsete Yggdarsili sisevõrgu ressurssidele juurde mitte otse, vaid vahesõlme kaudu - keskmise võrgu pääsupunkti kaudu, mida haldab selle operaator.
Kes võib sel juhul teie edastatavaid andmeid kahjustada:
- Pöörduspunkti operaator. On ilmne, et Medium võrgu pääsupunkti praegune operaator saab pealt kuulata krüpteerimata liiklust, mis läbib tema seadmeid.
- sissetungija (). Mediumil on sarnane probleem , ainult seoses sisend- ja vahesõlmedega.
See näeb välja selline
otsus: Yggdrasili võrgus veebiteenustele juurdepääsuks kasutage HTTPS-protokolli (tase 7 ). Probleem seisneb selles, et Yggdrasili võrguteenuste jaoks ei ole võimalik väljastada ehtsat turvasertifikaati tavapäraste vahenditega, näiteks .
Seetõttu asutasime oma sertifitseerimiskeskuse - . Valdav enamus Medium võrguteenustest on allkirjastatud vahepealse sertifitseerimisasutuse “Medium Domain Validation Secure Server CA” juurturbesertifikaadiga.
Sertifitseerimisasutuse juursertifikaadi ohustamise võimalusega loomulikult arvestati – kuid siin on sertifikaat pigem vajalik andmeedastuse terviklikkuse kinnitamiseks ja MITM-i rünnakute võimaluse välistamiseks.
Erinevate operaatorite keskmise võrgu teenustel on erinevad turbesertifikaadid, mis on ühel või teisel viisil allkirjastatud juursertifitseerimisasutuse poolt. Kuid juur-CA operaatorid ei saa pealt kuulata krüpteeritud liiklust teenustest, millele nad on allkirjastanud turvasertifikaadid (vt ).
Need, kes on eriti mures oma ohutuse pärast, võivad kasutada selliseid vahendeid nagu lisakaitse, nt и .
Praegu on keskmise võrgu avaliku võtme infrastruktuuril võimalus kontrollida sertifikaadi olekut protokolli abil või kasutamise kaudu .
Tulge asja juurde
Kasutaja alustas Yggdrasili võrgus asuvate veebiteenuste otsingumootori arendamist. Oluline aspekt on asjaolu, et teenuste IPv6-aadresside määramine otsingu tegemisel toimub päringu saatmisega keskmise võrgu sees asuvale DNS-serverile.
Peamine tippdomeen on .ygg. Enamikul domeeninimedel on see tippdomeen, välja arvatud kaks erandit: .isp и .gg.
Otsingumootor on väljatöötamisel, kuid selle kasutamine on võimalik juba täna – piisab vaid veebilehe külastamisest .
Saate aidata projekti arendada, .
Medium on loonud uue sertifitseerimisasutuse Medium Global Root CA. Keda muudatused puudutavad?
Eile lõppes Medium Root CA sertifitseerimiskeskuse funktsionaalsuse avalik testimine. Testimise lõpus parandati vead avaliku võtme infrastruktuuriteenuste töös ja loodi uus sertifitseerimisasutuse juursertifikaat “Medium Global Root CA”.
Arvesse võeti kõiki PKI nüansse ja funktsioone - nüüd antakse uus CA sertifikaat “Medium Global Root CA” välja alles kümme aastat hiljem (pärast selle kehtivusaja lõppu). Nüüd väljastavad turvasertifikaate ainult vahepealsed sertifitseerimisasutused - näiteks "Medium Domain Validation Secure Server CA".
Kuidas sertifikaatide usaldusahel praegu välja näeb?
Mida tuleb teha, et kõik toimiks, kui olete kasutaja:
Kuna mõned teenused kasutavad HSTS-i, peate enne keskmiste võrguressursside kasutamist kustutama andmed keskmistest sisevõrguressurssidest. Seda saate teha oma brauseri vahekaardil Ajalugu.
See on ka vajalik sertifitseerimiskeskus "Medium Global Root CA".
Mida tuleb teha, et kõik toimiks, kui olete süsteemioperaator:
Peate lehel oma teenuse sertifikaadi uuesti välja andma (teenus on saadaval ainult keskmises võrgus).
Turvasertifikaadid igale kodule – kuidas luua Yggdrasili võrgus oma teenus ja väljastada sellele kehtiv SSL-sertifikaat
Seoses sisevõrguteenuste arvu kasvuga Medium võrgus on suurenenud vajadus uute turvasertifikaatide väljastamiseks ja nende teenuste seadistamiseks nii, et need toetaksid SSL-i.
Kuna Habr on tehniline ressurss, paljastab igas uues kokkuvõttes üks päevakorrapunktidest keskmise võrgu infrastruktuuri tehnilised omadused. Näiteks allpool on põhjalikud juhised teie teenuse jaoks SSL-sertifikaadi väljastamiseks.
Näited näitavad domeeninime domeen.ygg, mis tuleb asendada teie teenuse domeeninimega.
Samm 1. Genereeri privaatvõti ja Diffie-Hellmani parameetrid
openssl genrsa -out domain.ygg.key 2048Seejärel:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Samm 2. Looge sertifikaadi allkirjastamise taotlus
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFaili sisu domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Samm 3. Esitage sertifikaaditaotlus
Selleks kopeerige faili sisu domain.ygg.csr ja kleepige see saidi tekstiväljale .
Järgige veebisaidil olevaid juhiseid ja seejärel klõpsake nuppu "Esita". Kui see õnnestub, saadetakse teie määratud e-posti aadressile sõnum, mis sisaldab vahesertifitseerimisasutuse allkirjastatud sertifikaadi manust.
Samm 4. Seadistage oma veebiserver
Kui kasutate veebiserverina nginxi, kasutage järgmist konfiguratsiooni:
fail domain.ygg.conf kataloogis /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fail ssl-params.conf kataloogis /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fail domain.ygg.conf kataloogis /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Meili teel saadud sertifikaat tuleb kopeerida aadressile: /etc/ssl/certs/domain.ygg.crt. Privaatvõti (domain.ygg.key) asetage see kataloogi /etc/ssl/private/.
Samm 5. Taaskäivitage oma veebiserver
sudo service nginx restartTasuta Internet Venemaal algab sinust endast
Täna saate Venemaal tasuta Interneti loomiseks anda kõikvõimaliku abi. Oleme koostanud põhjaliku loendi sellest, kuidas saate võrku aidata:
- Rääkige oma sõpradele ja kolleegidele võrgust Medium. Jaga selle artikli juurde sotsiaalvõrgustikes või isiklikus ajaveebis
- Osalege Medium võrgu tehniliste küsimuste arutelus
- Looge oma veebiteenus Yggdrasili võrgus ja lisage see
- Tõstke oma Medium võrku
Eelmised väljaanded:
Vaata ka:
Meil on telegrammis:
Küsitluses saavad osaleda ainult registreerunud kasutajad. palun.
Alternatiivne hääletamine: meie jaoks on oluline teada nende arvamust, kellel pole Habré kohta täielikku kontot
-
↑
-
↓
7 kasutajat hääletas. 2 kasutajat jäi erapooletuks.
Allikas: www.habr.com