"Segurtasun nazionala" esaldia entzuten dugu denbora guztian, baina gobernua gure komunikazioak kontrolatzen hasten denean, susmo sinesgarririk gabe, oinarri juridikorik gabe eta inolako helbururik gabe grabatzen, galdera egin behar diogu geure buruari: benetan babesten al dute segurtasun nazionala edo berenak babesten al dira?
- Edward Snowden
Laburpen honek Komunitateak pribatutasunaren gaian duen interesa areagotu nahi du, zeina kontuan hartuta inoiz baino garrantzitsuagoa bihurtzen da.
Agendan:
"Medium" Interneteko hornitzaile deszentralizatuaren komunitateko zaleak beren bilatzaile propioa sortzen ari dira
Medium-ek ziurtagiri-autoritate berri bat ezarri du, Medium Global Root CA. Nori eragingo dio aldaketak?
Etxe bakoitzeko segurtasun-ziurtagiriak - nola sortu zure zerbitzua Yggdrasil sarean eta horretarako baliozko SSL ziurtagiria eman
Gogoratu - zer da "Ertaina"?
Ertaina (English Ertaina β βbitartekariaβ, jatorrizko leloa β Ez eskatu zure pribatutasuna. hartu atzera; ingelesezko hitzetan ere medium "Bitartekoa" esan nahi du - sarera sartzeko zerbitzuak eskaintzen dituen Errusiako Internet hornitzaile deszentralizatua doan.
Izen osoa Medium Internet Service Provider da. Proiektua hasieran horrela pentsatu zen Π² .
2019ko apirilean sortu zen telekomunikazio-ingurune independente baten sorreraren baitan, azken erabiltzaileei Yggdrasil sareko baliabideetarako sarbidea eskainiz, haririk gabeko Wi-Fi datu-transmisioko teknologiaren bidez.
Gaiari buruzko informazio gehiago:
"Medium" Interneteko hornitzaile deszentralizatuaren komunitateko zaleak beren bilatzaile propioa sortzen ari dira
Jatorriz sarean , Medium Internet hornitzaile deszentralizatuak garraio gisa erabiltzen duena, ez zuen DNS zerbitzaririk edo gako publikoko azpiegiturarik; hala ere, Medium sareko zerbitzuetarako segurtasun ziurtagiriak eman beharrak bi arazo hauek konpondu zituen.
Zergatik behar duzu PKI Yggdrasil-ek kutxatik kanpo berdinen arteko trafikoa enkriptatzeko gaitasuna ematen badu?Ez dago HTTPS protokoloa erabili behar Yggdrasil sareko web zerbitzuetara konektatzeko Yggdrasil sarean lokalean exekutatzen ari den bideratzaile baten bidez konektatzen bazara.
Izan ere: Yggdrasil garraioa mailan dago Yggdrasil sarearen barruan baliabideak modu seguruan erabiltzeko aukera ematen du - jokatzeko gaitasuna guztiz baztertuta.
Egoera goitik behera aldatzen da Yggdarsil intraneteko baliabideetara zuzenean ez, bitarteko nodo baten bidez baizik: bere operadoreak kudeatzen duen Medium sarearen sarbide puntua lortzen baduzu.
Kasu honetan nork arriskuan jar ditzake transmititzen dituzun datuak:
- Sarbide puntuaren operadorea. Jakina, "Medium" sareko sarbide-puntuaren egungo operadoreak bere ekipamendutik pasatzen den trafiko zifratu gabekoa entzun dezake.
- intrusoa (). "Medium"-ek antzeko arazo bat du , sarrerako eta tarteko nodoetarako soilik.
Honela dirudi
Erabaki: Yggdrasil sareko web zerbitzuetara sartzeko, erabili HTTPS protokoloa (7. geruza ). Arazoa da ezin dela Yggdrasil sareko zerbitzuek benetako segurtasun ziurtagiria igortzea ohiko bitartekoen bidez, esaterako. .
Hori dela eta, gure ziurtagiri-autoritate propioa ezarri dugu - . Medium sareko zerbitzu gehien-gehienak Medium Domain Validation Secure Server CA bitarteko ziurtagiri-agintaritzaren erroko segurtasun-ziurtagiriak sinatzen ditu.
Ziurtagiri-agintaritzaren erro-ziurtagiria arriskuan jartzeko aukera kontuan hartu zen, zalantzarik gabe, baina hemen ziurtagiria beharrezkoa da datuen transferentziaren osotasuna berresteko eta MITM erasoen aukera baztertzeko.
Operadore ezberdinen "Medium" sareko zerbitzuek segurtasun-ziurtagiri desberdinak dituzte, era batera edo bestera erroko ziurtagiri-agintaritzak sinatuta. Hala ere, root CA operadoreek ez dute segurtasun-ziurtagiriak sinatu dituzten zerbitzuen enkriptatutako trafikoa usnatzeko gaitasunik (ikus XNUMX. ).
Beren segurtasunaz bereziki kezkatuta daudenek, babes osagarri gisa, esaterako, baliabideak erabil ditzakete ΠΈ .
Une honetan, Medium sareko gako publikoaren azpiegiturak ziurtagiri baten egoera egiaztatzeko gaitasuna du protokoloa erabiliz. edo erabileraren bidez .
Lortu puntura
erabiltzaile Yggdrasil sarean kokatutako web zerbitzuen bilatzailea garatzen hasi zen. Alderdi garrantzitsu bat da bilaketa bat egitean zerbitzuen IPv6 helbideak zehaztea Medium sarearen barruan dagoen DNS zerbitzari bati eskaera bat bidaliz egiten dela.
TLD nagusia da .ygg. Domeinu-izen gehienek TLD hau dute, bi salbuespen izan ezik: .isp ΠΈ .gg.
Bilatzailea garatzen ari da, baina gaur egun erabil daiteke jada - webgunea bisitatu besterik ez dago .
Proiektuaren garapenean lagundu dezakezu, .
Medium-ek ziurtagiri-autoritate berri bat ezarri du, Medium Global Root CA. Nori eragingo dio aldaketak?
Atzo, Medium Root CA ziurtapen zentroaren funtzionalitatearen proba publikoak amaitu ziren. Probak amaitutakoan, gako publikoen azpiegitura zerbitzuen funtzionamenduaren akatsak zuzendu ziren eta "Medium Global Root CA" ziurtagiri-agintaritzaren erro-ziurtagiri berri bat sortu zen.
PKIren Γ±abardura eta ezaugarri guztiak kontuan hartu ziren - orain "Medium Global Root CA" CA ziurtagiri berria hamar urte geroago (iraungitze-dataren ondoren) emango da. Orain segurtasun-ziurtagiriak bitarteko ziurtapen-agintariek bakarrik ematen dituzte; adibidez, "Medium Domain Validation Secure Server CA".
Nolakoa da orain ziurtagiriaren konfiantza-katea?
Zer egin behar den guztia funtziona dezan erabiltzailea bazara:
Zerbitzu batzuek HSTS erabiltzen dutenez, Medium sareko baliabideak erabili aurretik, Medium intranet baliabideetatik datuak ezabatu behar dituzu. Hori egin dezakezu zure arakatzailearen Historia fitxan.
Beharrezkoa da ere ziurtagiri-zentroa "Medium Global Root CA".
Zer egin behar den guztia funtziona dezan sistema-operatzailea bazara:
Orriaren zerbitzurako ziurtagiria berriro igorri behar duzu (zerbitzua Medium sarean bakarrik dago eskuragarri).
Etxe bakoitzeko segurtasun-ziurtagiriak - nola sortu zure zerbitzua Yggdrasil sarean eta horretarako baliozko SSL ziurtagiria eman
Medium sarean intranet zerbitzuen kopurua hazi denez, segurtasun ziurtagiri berriak emateko eta haien zerbitzuak SSL onartzen duten konfiguratzeko beharra areagotu egin da.
Habr baliabide teknikoa denez, laburpen berri bakoitzean agendako puntuetako batek Medium sarearen azpiegituraren ezaugarri teknikoak azalduko ditu. Adibidez, behean zure zerbitzurako SSL ziurtagiria igortzeko argibide zabalak daude.
Adibideek domeinu-izena adieraziko dute domeinua.ygg, zure zerbitzuaren domeinu-izenarekin ordezkatu behar dena.
Urratsera 1. Sortu gako pribatua eta Diffie-Hellman parametroak
openssl genrsa -out domain.ygg.key 2048orduan:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Urratsera 2. Sortu ziurtagiria sinatzeko eskaera
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFitxategien edukia domeinua.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Urratsera 3. Bidali ziurtagiri eskaera
Horretarako, kopiatu fitxategiaren edukia domeinua.ygg.csr eta itsatsi webguneko testu eremuan .
Jarraitu webgunean emandako argibideak, eta sakatu "Bidali". Arrakasta izanez gero, mezu bat bidaliko da zehaztu duzun helbide elektronikora, tarteko ziurtagiri-agintari batek sinatutako ziurtagiriaren eranskin bat duena.
Urratsera 4. Konfiguratu zure web zerbitzaria
Nginx zure web zerbitzari gisa erabiltzen ari bazara, erabili konfigurazio hau:
fitxategia domeinua.ygg.conf direktorioan /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fitxategia ssl-params.conf direktorioan /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fitxategia domeinua.ygg.conf direktorioan /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Posta elektronikoz jaso duzun ziurtagiria helbide honetara kopiatu behar da: /etc/ssl/certs/domain.ygg.crt. Gako pribatua (domeinua.ygg.gakoa) jarri direktorio batean /etc/ssl/pribatua/.
Urratsera 5. Berrabiarazi zure web zerbitzaria
sudo service nginx restartErrusian doan Internet zurekin hasten da
Errusian doako Internet bat ezartzeko laguntza posible guztia eman dezakezu gaur. Sareari nola lagundu dezakezun jakiteko zerrenda osatu dugu:
- Esan zure lagunei eta lankideei Medium sareari buruz. Partekatu artikulu honi sare sozialetan edo blog pertsonaletan
- Hartu parte Medium sareko gai teknikoen eztabaidan
- Sortu zure web zerbitzua Yggdrasil sarean eta gehitu
- Altxatu zure Medium sarera
Aurreko argitalpenak:
Ikusi ere:
Telegramen gaude:
Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. , mesedez.
Boto alternatiboa: guretzat garrantzitsua da HabrΓ©-ri buruzko kontu osoa ez dutenen iritzia ezagutzea
-
β
-
β
7 erabiltzailek eman dute botoa. 2 erabiltzaile abstenitu ziren.
Iturria: www.habr.com