ما همیشه عبارت "امنیت ملی" را می شنویم، اما وقتی دولت شروع به نظارت بر ارتباطات ما می کند، آنها را بدون سوء ظن معتبر، مبنای قانونی و بدون هیچ هدف ظاهری ضبط می کند، باید این سوال را از خود بپرسیم: آیا واقعاً از امنیت ملی محافظت می کنند یا آیا آنها از خود محافظت می کنند؟
- ادوارد اسنودن
این خلاصه به منظور افزایش علاقه جامعه به موضوع حریم خصوصی است که، با توجه به آخرین رویدادها مرتبط تر از همیشه می شود.
در دستور کار:
علاقه مندان از جامعه ارائه دهنده اینترنت غیرمتمرکز "Medium" در حال ایجاد موتور جستجوی خود هستند.
Medium یک مرجع صدور گواهینامه جدید به نام Medium Global Root CA ایجاد کرده است. چه کسانی تحت تاثیر تغییرات قرار خواهند گرفت؟
گواهینامه های امنیتی برای هر خانه - نحوه ایجاد سرویس خود در شبکه Yggdrasil و صدور گواهینامه SSL معتبر برای آن
به من یادآوری کن - "متوسط" چیست؟
متوسط (انگلیسی متوسط - "واسطه"، شعار اصلی - حریم خصوصی خود را نپرسید. آن را پس بگیرید; همچنین در انگلیسی کلمه متوسط به معنی "واسطه") - یک ارائه دهنده اینترنت غیرمتمرکز روسی که خدمات دسترسی به شبکه را ارائه می دهد ایگدراسیل مجانی.
نام کامل: ارائه دهنده خدمات اینترنت متوسط. در ابتدا این پروژه به عنوان تصور شد شبکه مش в منطقه شهری کولومنا.
در آوریل 2019 به عنوان بخشی از ایجاد یک محیط مخابراتی مستقل با ارائه دسترسی کاربران نهایی به منابع شبکه Yggdrasil از طریق استفاده از فناوری انتقال داده های بی سیم Wi-Fi شکل گرفت.
علاقه مندان از جامعه ارائه دهنده اینترنت غیرمتمرکز "Medium" در حال ایجاد موتور جستجوی خود هستند.
در اصل آنلاین ایگدراسیل، که ارائه دهنده خدمات اینترنت غیرمتمرکز Medium از آن به عنوان یک حمل و نقل استفاده می کند، سرور DNS یا زیرساخت کلید عمومی خود را نداشت - با این حال، نیاز به صدور گواهینامه های امنیتی برای خدمات شبکه متوسط این دو مشکل را حل کرد.
اگر Yggdrasil خارج از جعبه امکان رمزگذاری ترافیک بین همتایان را فراهم می کند، چرا به PKI نیاز دارید؟اگر از طریق روتر شبکه Yggdrasil به آنها متصل می شوید، نیازی به استفاده از HTTPS برای اتصال به وب سرویس ها در شبکه Yggdrasil نیست.
در واقع: حمل و نقل Yggdrasil برابر است پروتکل به شما امکان می دهد با خیال راحت از منابع در شبکه Yggdrasil استفاده کنید - توانایی انجام حملات MITM کاملا مستثنی شده است.
اگر به منابع اینترانت Yggdarsil دسترسی داشته باشید نه مستقیم، بلکه از طریق یک گره میانی - نقطه دسترسی شبکه متوسط، که توسط اپراتور آن اداره می شود، وضعیت به شدت تغییر می کند.
در این مورد، چه کسی می تواند داده هایی را که شما منتقل می کنید به خطر بیاندازد:
اپراتور نقطه دسترسی. بدیهی است که اپراتور فعلی نقطه دسترسی شبکه متوسط می تواند از ترافیک رمزگذاری نشده ای که از تجهیزات آن عبور می کند استراق سمع کند.
مزاحم (مردی در وسط). مدیوم مشکلی مشابه دارد مشکل شبکه Tor، فقط در رابطه با گره های ورودی و میانی.
این چیزی است که به نظر می رسد
تصمیم: برای دسترسی به خدمات وب در شبکه Yggdrasil، از پروتکل HTTPS (سطح 7) استفاده کنید مدل های OSI). مشکل این است که صدور گواهینامه امنیتی واقعی برای خدمات شبکه Yggdrasil از طریق روش های عادی مانند امکان پذیر نیست. بیایید رمزگذاری کنیم.
بنابراین، ما مرکز صدور گواهینامه خود را تأسیس کردیم - "متوسط جهانی روت CA". اکثریت قریب به اتفاق سرویسها در شبکه Medium توسط گواهی امنیتی ریشه مرجع صدور گواهینامه متوسط سرور امن اعتبارسنجی دامنه متوسط CA امضا شده است.
البته احتمال به خطر انداختن گواهی ریشه مرجع صدور گواهینامه در نظر گرفته شد - اما در اینجا گواهی برای تأیید صحت انتقال داده ها و از بین بردن احتمال حملات MITM ضروری تر است.
سرویسهای شبکه متوسط از اپراتورهای مختلف گواهیهای امنیتی متفاوتی دارند که به هر طریقی توسط مرجع صدور گواهینامه ریشه امضا شده است. با این حال، اپراتورهای Root CA قادر به استراق سمع ترافیک رمزگذاری شده از سرویسهایی نیستند که گواهیهای امنیتی را امضا کردهاند (نگاه کنید به "CSR چیست؟").
کسانی که به ویژه نگران ایمنی خود هستند می توانند از وسایلی مانند حفاظت اضافی مانند PGP и مشابه.
در حال حاضر زیرساخت کلید عمومی شبکه Medium قابلیت بررسی وضعیت گواهی را با استفاده از پروتکل دارد. OCSP یا از طریق استفاده C.R.L..
برو سر اصل مطلب
کاربر @NXShock شروع به توسعه یک موتور جستجو برای خدمات وب مستقر در شبکه Yggdrasil کرد. یک جنبه مهم این واقعیت است که تعیین آدرس IPv6 سرویس ها هنگام انجام جستجو با ارسال یک درخواست به سرور DNS واقع در داخل شبکه Medium انجام می شود.
TLD اصلی است .ygg. اکثر نام های دامنه دارای این TLD هستند، با دو استثنا: isp и .gg.
موتور جستجو در حال توسعه است، اما استفاده از آن در حال حاضر امکان پذیر است - فقط کافی است به وب سایت مراجعه کنید search.medium.isp.
Medium یک مرجع صدور گواهینامه جدید به نام Medium Global Root CA ایجاد کرده است. چه کسانی تحت تاثیر تغییرات قرار خواهند گرفت؟
دیروز، آزمایش عمومی عملکرد مرکز صدور گواهینامه CA ریشه متوسط به پایان رسید. در پایان آزمایش، خطاها در عملکرد خدمات زیرساخت کلید عمومی تصحیح شد و یک گواهی ریشه جدید از مرجع صدور گواهینامه "Medium Global Root CA" ایجاد شد.
تمام تفاوت های ظریف و ویژگی های PKI در نظر گرفته شد - اکنون گواهی جدید CA "Medium Global Root CA" تنها ده سال بعد (پس از تاریخ انقضا) صادر می شود. اکنون گواهیهای امنیتی فقط توسط مقامات صدور گواهینامه میانی صادر میشوند - به عنوان مثال، "سرور امن اعتبارسنجی دامنه متوسط CA".
اکنون زنجیره اعتماد گواهی چگونه است؟
اگر کاربر هستید چه کاری باید انجام دهید تا همه چیز کار کند:
از آنجایی که برخی از سرویس ها از HSTS استفاده می کنند، قبل از استفاده از منابع شبکه متوسط، باید داده ها را از منابع اینترانت متوسط حذف کنید. می توانید این کار را در تب History مرورگر خود انجام دهید.
همچنین لازم است نصب گواهی جدید مرکز صدور گواهینامه "Medium Global Root CA".
اگر یک اپراتور سیستم هستید، چه کاری باید انجام شود تا همه چیز کار کند:
شما باید گواهی را برای خدمات خود در صفحه دوباره صادر کنید pki.medium.isp (این سرویس فقط در شبکه متوسط در دسترس است).
گواهینامه های امنیتی برای هر خانه - نحوه ایجاد سرویس خود در شبکه Yggdrasil و صدور گواهینامه SSL معتبر برای آن
با توجه به رشد تعداد سرویس های اینترانت در شبکه Medium، نیاز به صدور گواهینامه های امنیتی جدید و پیکربندی سرویس های آنها به گونه ای که از SSL پشتیبانی می کنند افزایش یافته است.
از آنجایی که هابر یک منبع فنی است، در هر خلاصه جدید یکی از موارد دستور کار ویژگی های فنی زیرساخت شبکه متوسط را آشکار می کند. به عنوان مثال، در زیر دستورالعمل های جامعی برای صدور گواهینامه SSL برای سرویس شما آورده شده است.
مثال ها نام دامنه را نشان می دهند domain.ygg، که باید با نام دامنه سرویس شما جایگزین شود.
مرحله 1. کلید خصوصی و پارامترهای Diffie-Hellman را ایجاد کنید
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
مرحله 3. درخواست گواهی ارسال کنید
برای این کار محتویات فایل را کپی کنید domain.ygg.csr و آن را در قسمت متن سایت قرار دهید pki.medium.isp.
دستورالعمل های ارائه شده در وب سایت را دنبال کنید، سپس روی "ارسال" کلیک کنید. در صورت موفقیت آمیز بودن، پیامی به آدرس ایمیلی که مشخص کردهاید ارسال میشود که حاوی پیوستی در قالب گواهی امضا شده توسط یک مرجع صدور گواهینامه میانی است.
مرحله 4. وب سرور خود را راه اندازی کنید
اگر از nginx به عنوان وب سرور خود استفاده می کنید، از پیکربندی زیر استفاده کنید:
پرونده domain.ygg.conf در دایرکتوری /etc/nginx/sites-available/
گواهینامه ای که از طریق ایمیل دریافت کرده اید باید در این موارد کپی شود: /etc/ssl/certs/domain.ygg.crt. کلید خصوصی (domain.ygg.key) آن را در دایرکتوری قرار دهید /etc/ssl/private/.
مرحله 5. وب سرور خود را مجددا راه اندازی کنید
sudo service nginx restart
اینترنت رایگان در روسیه با شما شروع می شود
امروز می توانید تمام کمک های ممکن را برای ایجاد اینترنت رایگان در روسیه ارائه دهید. ما یک لیست جامع از نحوه کمک به شبکه را گردآوری کرده ایم:
شبکه مدیوم را به دوستان و همکاران خود معرفی کنید. اشتراک گذاری با مرجع به این مقاله در شبکه های اجتماعی یا وبلاگ شخصی
در بحث مسائل فنی در شبکه مدیوم شرکت کنید در GitHub
وب سرویس خود را در شبکه Yggdrasil ایجاد کنید و آن را به آن اضافه کنید DNS شبکه متوسط