ما همیشه عبارت "امنیت ملی" را می شنویم، اما وقتی دولت شروع به نظارت بر ارتباطات ما می کند، آنها را بدون سوء ظن معتبر، مبنای قانونی و بدون هیچ هدف ظاهری ضبط می کند، باید این سوال را از خود بپرسیم: آیا واقعاً از امنیت ملی محافظت می کنند یا آیا آنها از خود محافظت می کنند؟
- ادوارد اسنودن
این خلاصه به منظور افزایش علاقه جامعه به موضوع حریم خصوصی است که، با توجه به مرتبط تر از همیشه می شود.
در دستور کار:
علاقه مندان از جامعه ارائه دهنده اینترنت غیرمتمرکز "Medium" در حال ایجاد موتور جستجوی خود هستند.
Medium یک مرجع صدور گواهینامه جدید به نام Medium Global Root CA ایجاد کرده است. چه کسانی تحت تاثیر تغییرات قرار خواهند گرفت؟
گواهینامه های امنیتی برای هر خانه - نحوه ایجاد سرویس خود در شبکه Yggdrasil و صدور گواهینامه SSL معتبر برای آن
به من یادآوری کن - "متوسط" چیست؟
متوسط (انگلیسی متوسط - "واسطه"، شعار اصلی - حریم خصوصی خود را نپرسید. آن را پس بگیرید; همچنین در انگلیسی کلمه متوسط به معنی "واسطه") - یک ارائه دهنده اینترنت غیرمتمرکز روسی که خدمات دسترسی به شبکه را ارائه می دهد مجانی.
نام کامل: ارائه دهنده خدمات اینترنت متوسط. در ابتدا این پروژه به عنوان تصور شد в .
در آوریل 2019 به عنوان بخشی از ایجاد یک محیط مخابراتی مستقل با ارائه دسترسی کاربران نهایی به منابع شبکه Yggdrasil از طریق استفاده از فناوری انتقال داده های بی سیم Wi-Fi شکل گرفت.
اطلاعات بیشتر در مورد موضوع:
علاقه مندان از جامعه ارائه دهنده اینترنت غیرمتمرکز "Medium" در حال ایجاد موتور جستجوی خود هستند.
در اصل آنلاین ، که ارائه دهنده خدمات اینترنت غیرمتمرکز Medium از آن به عنوان یک حمل و نقل استفاده می کند، سرور DNS یا زیرساخت کلید عمومی خود را نداشت - با این حال، نیاز به صدور گواهینامه های امنیتی برای خدمات شبکه متوسط این دو مشکل را حل کرد.
اگر Yggdrasil خارج از جعبه امکان رمزگذاری ترافیک بین همتایان را فراهم می کند، چرا به PKI نیاز دارید؟اگر از طریق روتر شبکه Yggdrasil به آنها متصل می شوید، نیازی به استفاده از HTTPS برای اتصال به وب سرویس ها در شبکه Yggdrasil نیست.
در واقع: حمل و نقل Yggdrasil برابر است به شما امکان می دهد با خیال راحت از منابع در شبکه Yggdrasil استفاده کنید - توانایی انجام کاملا مستثنی شده است.
اگر به منابع اینترانت Yggdarsil دسترسی داشته باشید نه مستقیم، بلکه از طریق یک گره میانی - نقطه دسترسی شبکه متوسط، که توسط اپراتور آن اداره می شود، وضعیت به شدت تغییر می کند.
در این مورد، چه کسی می تواند داده هایی را که شما منتقل می کنید به خطر بیاندازد:
- اپراتور نقطه دسترسی. بدیهی است که اپراتور فعلی نقطه دسترسی شبکه متوسط می تواند از ترافیک رمزگذاری نشده ای که از تجهیزات آن عبور می کند استراق سمع کند.
- مزاحم (). مدیوم مشکلی مشابه دارد ، فقط در رابطه با گره های ورودی و میانی.
این چیزی است که به نظر می رسد
تصمیم: برای دسترسی به خدمات وب در شبکه Yggdrasil، از پروتکل HTTPS (سطح 7) استفاده کنید ). مشکل این است که صدور گواهینامه امنیتی واقعی برای خدمات شبکه Yggdrasil از طریق روش های عادی مانند امکان پذیر نیست. .
بنابراین، ما مرکز صدور گواهینامه خود را تأسیس کردیم - . اکثریت قریب به اتفاق سرویسها در شبکه Medium توسط گواهی امنیتی ریشه مرجع صدور گواهینامه متوسط سرور امن اعتبارسنجی دامنه متوسط CA امضا شده است.
البته احتمال به خطر انداختن گواهی ریشه مرجع صدور گواهینامه در نظر گرفته شد - اما در اینجا گواهی برای تأیید صحت انتقال داده ها و از بین بردن احتمال حملات MITM ضروری تر است.
سرویسهای شبکه متوسط از اپراتورهای مختلف گواهیهای امنیتی متفاوتی دارند که به هر طریقی توسط مرجع صدور گواهینامه ریشه امضا شده است. با این حال، اپراتورهای Root CA قادر به استراق سمع ترافیک رمزگذاری شده از سرویسهایی نیستند که گواهیهای امنیتی را امضا کردهاند (نگاه کنید به ).
کسانی که به ویژه نگران ایمنی خود هستند می توانند از وسایلی مانند حفاظت اضافی مانند и .
در حال حاضر زیرساخت کلید عمومی شبکه Medium قابلیت بررسی وضعیت گواهی را با استفاده از پروتکل دارد. یا از طریق استفاده .
برو سر اصل مطلب
کاربر شروع به توسعه یک موتور جستجو برای خدمات وب مستقر در شبکه Yggdrasil کرد. یک جنبه مهم این واقعیت است که تعیین آدرس IPv6 سرویس ها هنگام انجام جستجو با ارسال یک درخواست به سرور DNS واقع در داخل شبکه Medium انجام می شود.
TLD اصلی است .ygg. اکثر نام های دامنه دارای این TLD هستند، با دو استثنا: isp и .gg.
موتور جستجو در حال توسعه است، اما استفاده از آن در حال حاضر امکان پذیر است - فقط کافی است به وب سایت مراجعه کنید .
شما می توانید به توسعه پروژه کمک کنید، .
Medium یک مرجع صدور گواهینامه جدید به نام Medium Global Root CA ایجاد کرده است. چه کسانی تحت تاثیر تغییرات قرار خواهند گرفت؟
دیروز، آزمایش عمومی عملکرد مرکز صدور گواهینامه CA ریشه متوسط به پایان رسید. در پایان آزمایش، خطاها در عملکرد خدمات زیرساخت کلید عمومی تصحیح شد و یک گواهی ریشه جدید از مرجع صدور گواهینامه "Medium Global Root CA" ایجاد شد.
تمام تفاوت های ظریف و ویژگی های PKI در نظر گرفته شد - اکنون گواهی جدید CA "Medium Global Root CA" تنها ده سال بعد (پس از تاریخ انقضا) صادر می شود. اکنون گواهیهای امنیتی فقط توسط مقامات صدور گواهینامه میانی صادر میشوند - به عنوان مثال، "سرور امن اعتبارسنجی دامنه متوسط CA".
اکنون زنجیره اعتماد گواهی چگونه است؟
اگر کاربر هستید چه کاری باید انجام دهید تا همه چیز کار کند:
از آنجایی که برخی از سرویس ها از HSTS استفاده می کنند، قبل از استفاده از منابع شبکه متوسط، باید داده ها را از منابع اینترانت متوسط حذف کنید. می توانید این کار را در تب History مرورگر خود انجام دهید.
همچنین لازم است مرکز صدور گواهینامه "Medium Global Root CA".
اگر یک اپراتور سیستم هستید، چه کاری باید انجام شود تا همه چیز کار کند:
شما باید گواهی را برای خدمات خود در صفحه دوباره صادر کنید (این سرویس فقط در شبکه متوسط در دسترس است).
گواهینامه های امنیتی برای هر خانه - نحوه ایجاد سرویس خود در شبکه Yggdrasil و صدور گواهینامه SSL معتبر برای آن
با توجه به رشد تعداد سرویس های اینترانت در شبکه Medium، نیاز به صدور گواهینامه های امنیتی جدید و پیکربندی سرویس های آنها به گونه ای که از SSL پشتیبانی می کنند افزایش یافته است.
از آنجایی که هابر یک منبع فنی است، در هر خلاصه جدید یکی از موارد دستور کار ویژگی های فنی زیرساخت شبکه متوسط را آشکار می کند. به عنوان مثال، در زیر دستورالعمل های جامعی برای صدور گواهینامه SSL برای سرویس شما آورده شده است.
مثال ها نام دامنه را نشان می دهند domain.ygg، که باید با نام دامنه سرویس شما جایگزین شود.
مرحله 1. کلید خصوصی و پارامترهای Diffie-Hellman را ایجاد کنید
openssl genrsa -out domain.ygg.key 2048سپس:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048مرحله 2. یک درخواست امضای گواهی ایجاد کنید
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confمحتویات فایل domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
مرحله 3. درخواست گواهی ارسال کنید
برای این کار محتویات فایل را کپی کنید domain.ygg.csr و آن را در قسمت متن سایت قرار دهید .
دستورالعمل های ارائه شده در وب سایت را دنبال کنید، سپس روی "ارسال" کلیک کنید. در صورت موفقیت آمیز بودن، پیامی به آدرس ایمیلی که مشخص کردهاید ارسال میشود که حاوی پیوستی در قالب گواهی امضا شده توسط یک مرجع صدور گواهینامه میانی است.
مرحله 4. وب سرور خود را راه اندازی کنید
اگر از nginx به عنوان وب سرور خود استفاده می کنید، از پیکربندی زیر استفاده کنید:
پرونده domain.ygg.conf در دایرکتوری /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
پرونده ssl-params.conf در دایرکتوری /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
پرونده domain.ygg.conf در دایرکتوری /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
گواهینامه ای که از طریق ایمیل دریافت کرده اید باید در این موارد کپی شود: /etc/ssl/certs/domain.ygg.crt. کلید خصوصی (domain.ygg.key) آن را در دایرکتوری قرار دهید /etc/ssl/private/.
مرحله 5. وب سرور خود را مجددا راه اندازی کنید
sudo service nginx restartاینترنت رایگان در روسیه با شما شروع می شود
امروز می توانید تمام کمک های ممکن را برای ایجاد اینترنت رایگان در روسیه ارائه دهید. ما یک لیست جامع از نحوه کمک به شبکه را گردآوری کرده ایم:
- شبکه مدیوم را به دوستان و همکاران خود معرفی کنید. اشتراک گذاری به این مقاله در شبکه های اجتماعی یا وبلاگ شخصی
- در بحث مسائل فنی در شبکه مدیوم شرکت کنید
- وب سرویس خود را در شبکه Yggdrasil ایجاد کنید و آن را به آن اضافه کنید
- مال خودت را بالا ببر به شبکه متوسط
نسخه های قبلی:
همچنین نگاه کنید به:
ما در تلگرام هستیم:
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ، لطفا.
رای گیری جایگزین: برای ما مهم است که نظر کسانی را که حساب کاملی در Habré ندارند بدانیم.
-
↑
-
↓
7 کاربر رای دادند. 2 کاربر رای ممتنع دادند.
منبع: www.habr.com