Nous entendons tout le temps l’expression « sécurité nationale », mais lorsque le gouvernement commence à surveiller nos communications, à les enregistrer sans soupçon crédible, sans base légale et sans aucun objectif apparent, nous devons nous poser la question : protègent-ils réellement la sécurité nationale ou Est-ce qu'ils protègent les leurs ?
- Edward Snowden
Ce recueil vise à accroître l'intérêt de la Communauté pour la question de la vie privée, qui, à la lumière de devient plus pertinent que jamais.
À l'ordre du jour:
Des passionnés de la communauté du fournisseur d'accès Internet décentralisé « Medium » créent leur propre moteur de recherche
Medium a créé une nouvelle autorité de certification, Medium Global Root CA. Qui sera concerné par les changements ?
Certificats de sécurité pour chaque foyer - comment créer votre propre service sur le réseau Yggdrasil et émettre un certificat SSL valide pour celui-ci
Rappelez-moi : qu'est-ce que « Moyen » ?
Moyenne (En anglais Moyenne - « intermédiaire », slogan original - Ne demandez pas votre vie privée. Reprends-le; aussi en anglais le mot moyenne signifie « intermédiaire ») - un fournisseur Internet décentralisé russe fournissant des services d'accès au réseau gratuit.
Nom complet : Fournisseur de services Internet moyen. Initialement, le projet a été conçu comme в .
Formé en avril 2019 dans le cadre de la création d'un environnement de télécommunications indépendant en fournissant aux utilisateurs finaux un accès aux ressources du réseau Yggdrasil grâce à l'utilisation de la technologie de transmission de données sans fil Wi-Fi.
Plus d'informations sur le sujet :
Des passionnés de la communauté du fournisseur d'accès Internet décentralisé « Medium » créent leur propre moteur de recherche
Initialement en ligne , que le fournisseur de services Internet décentralisé Medium utilise comme moyen de transport, ne disposait pas de son propre serveur DNS ni d'infrastructure à clé publique - cependant, la nécessité de délivrer des certificats de sécurité pour les services réseau Medium a résolu ces deux problèmes.
Pourquoi avez-vous besoin d’une PKI si Yggdrasil offre la possibilité de chiffrer le trafic entre pairs ?Il n'est pas nécessaire d'utiliser HTTPS pour vous connecter aux services Web sur le réseau Yggdrasil si vous vous y connectez via un routeur réseau Yggdrasil exécuté localement.
En effet : le transport d’Yggdrasil est à la hauteur vous permet d'utiliser en toute sécurité les ressources du réseau Yggdrasil - la capacité de mener complètement exclu.
La situation change radicalement si vous accédez aux ressources intranet d'Yggdarsil non pas directement, mais via un nœud intermédiaire - le point d'accès au réseau Medium, qui est administré par son opérateur.
Dans ce cas, qui peut compromettre les données que vous transmettez :
- Opérateur de point d'accès. Il est évident que l'opérateur actuel du point d'accès au réseau Medium peut espionner le trafic non crypté qui transite par ses équipements.
- intrus (). Medium a un problème similaire à , uniquement par rapport aux nœuds d'entrée et intermédiaires.
Voilà à quoi ça ressemble
décision: pour accéder aux services web au sein du réseau Yggdrasil, utilisez le protocole HTTPS (niveau 7 ). Le problème est qu'il n'est pas possible de délivrer un véritable certificat de sécurité pour les services réseau d'Yggdrasil par des moyens conventionnels tels que .
C'est pourquoi nous avons créé notre propre centre de certification - . La grande majorité des services réseau Medium sont signés par le certificat de sécurité racine de l'autorité de certification intermédiaire « Medium Domain Validation Secure Server CA ».
La possibilité de compromettre le certificat racine de l'autorité de certification a bien sûr été prise en compte - mais ici le certificat est plus nécessaire pour confirmer l'intégrité de la transmission des données et éliminer la possibilité d'attaques MITM.
Les services réseau moyens de différents opérateurs ont des certificats de sécurité différents, d'une manière ou d'une autre signés par l'autorité de certification racine. Cependant, les opérateurs de l'autorité de certification racine ne sont pas en mesure d'écouter le trafic chiffré des services pour lesquels ils ont signé des certificats de sécurité (voir ).
Ceux qui sont particulièrement soucieux de leur sécurité peuvent utiliser des moyens tels qu'une protection supplémentaire, comme и .
Actuellement, l'infrastructure à clé publique du réseau Medium a la capacité de vérifier l'état d'un certificat à l'aide du protocole ou par l'utilisation .
Plus près du point
Utilisateur a commencé à développer un moteur de recherche de services Web situés sur le réseau Yggdrasil. Un aspect important est le fait que la détermination des adresses IPv6 des services lors d'une recherche s'effectue en envoyant une requête à un serveur DNS situé à l'intérieur du réseau Medium.
Le TLD principal est .ygg. La plupart des noms de domaine possèdent ce TLD, à deux exceptions près : .fai и .gg.
Le moteur de recherche est en cours de développement, mais son utilisation est déjà possible aujourd'hui - il suffit de visiter le site Internet .
Vous pouvez aider au développement du projet, .
Medium a créé une nouvelle autorité de certification, Medium Global Root CA. Qui sera concerné par les changements ?
Hier, les tests publics de la fonctionnalité du centre de certification Medium Root CA ont été achevés. A l'issue des tests, des erreurs dans le fonctionnement des services d'infrastructure à clé publique ont été corrigées et un nouveau certificat racine de l'autorité de certification « Medium Global Root CA » a été créé.
Toutes les nuances et caractéristiques de PKI ont été prises en compte - désormais, le nouveau certificat CA « Medium Global Root CA » ne sera délivré que dix ans plus tard (après sa date d'expiration). Désormais, les certificats de sécurité ne sont délivrés que par des autorités de certification intermédiaires - par exemple, « Medium Domain Validation Secure Server CA ».
À quoi ressemble maintenant la chaîne de confiance des certificats ?
Que faut-il faire pour que tout fonctionne si vous êtes utilisateur :
Étant donné que certains services utilisent HSTS, avant d'utiliser les ressources réseau Medium, vous devez supprimer les données des ressources intranet Medium. Vous pouvez le faire dans l'onglet Historique de votre navigateur.
Il faut aussi centre de certification "Medium Global Root CA".
Que faut-il faire pour que tout fonctionne si vous êtes un opérateur système :
Vous devez réémettre le certificat de votre service sur la page (le service est disponible uniquement sur le réseau Medium).
Certificats de sécurité pour chaque foyer - comment créer votre propre service sur le réseau Yggdrasil et émettre un certificat SSL valide pour celui-ci
En raison de la croissance du nombre de services intranet sur le réseau Medium, la nécessité d'émettre de nouveaux certificats de sécurité et de configurer leurs services pour qu'ils prennent en charge SSL s'est accrue.
Puisque Habr est une ressource technique, dans chaque nouveau résumé, l'un des points de l'ordre du jour révélera les caractéristiques techniques de l'infrastructure du réseau Medium. Par exemple, vous trouverez ci-dessous des instructions complètes pour émettre un certificat SSL pour votre service.
Les exemples indiqueront le nom de domaine domaine.ygg, qui doit être remplacé par le nom de domaine de votre service.
Étape 1. Générer une clé privée et des paramètres Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Puis:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Étape 2. Créer une demande de signature de certificat
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confContenu du fichier domaine.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Étape 3. Soumettre une demande de certificat
Pour ce faire, copiez le contenu du fichier domaine.ygg.csr et collez-le dans le champ de texte du site .
Suivez les instructions fournies sur le site Web, puis cliquez sur « Soumettre ». En cas de succès, un message sera envoyé à l'adresse email que vous avez indiquée contenant une pièce jointe sous la forme d'un certificat signé par une autorité de certification intermédiaire.
Étape 4. Configurez votre serveur Web
Si vous utilisez nginx comme serveur Web, utilisez la configuration suivante :
Dossier domaine.ygg.conf dans le répertoire /etc/nginx/sites-disponibles/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
Dossier ssl-params.conf dans le répertoire /etc/nginx/extraits/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Dossier domaine.ygg.conf dans le répertoire /etc/nginx/extraits/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Le certificat que vous avez reçu par email doit être copié à : /etc/ssl/certs/domain.ygg.crt. Clé privée (domaine.ygg.key) placez-le dans un répertoire /etc/ssl/prive/.
Étape 5. Redémarrez votre serveur Web
sudo service nginx restartL'Internet gratuit en Russie commence avec vous
Vous pouvez aujourd’hui apporter toute l’aide possible à l’établissement d’un Internet libre en Russie. Nous avons compilé une liste complète de la manière exacte dont vous pouvez aider le réseau :
- Parlez du réseau Medium à vos amis et collègues. Partager à cet article sur les réseaux sociaux ou blog personnel
- Participez à la discussion sur les problèmes techniques sur le réseau Medium
- Créez votre service web sur le réseau Yggdrasil et ajoutez-le à
- Élevez le vôtre au réseau Medium
Versions précédentes :
Voir aussi:
Nous en Télégramme:
Seuls les utilisateurs enregistrés peuvent participer à l'enquête. s'il te plait.
Vote alternatif : il est important pour nous de connaître l'avis de ceux qui n'ont pas un compte complet sur Habré
-
↑
-
↓
7 utilisateurs ont voté. 2 utilisateurs se sont abstenus.
Source: habr.com