Nous entendons tout le temps l’expression « sécurité nationale », mais lorsque le gouvernement commence à surveiller nos communications, à les enregistrer sans soupçon crédible, sans base légale et sans aucun objectif apparent, nous devons nous poser la question : protègent-ils réellement la sécurité nationale ou Est-ce qu'ils protègent les leurs ?
- Edward Snowden
Ce recueil vise à accroître l'intérêt de la Communauté pour la question de la vie privée, qui, à la lumière de derniers évènements devient plus pertinent que jamais.
À l'ordre du jour:
Des passionnés de la communauté du fournisseur d'accès Internet décentralisé « Medium » créent leur propre moteur de recherche
Medium a créé une nouvelle autorité de certification, Medium Global Root CA. Qui sera concerné par les changements ?
Certificats de sécurité pour chaque foyer - comment créer votre propre service sur le réseau Yggdrasil et émettre un certificat SSL valide pour celui-ci
Rappelez-moi : qu'est-ce que « Moyen » ?
Moyenne (En anglais Moyenne - « intermédiaire », slogan original - Ne demandez pas votre vie privée. Reprends-le; aussi en anglais le mot moyenne signifie « intermédiaire ») - un fournisseur Internet décentralisé russe fournissant des services d'accès au réseau Yggdrasil gratuit.
Formé en avril 2019 dans le cadre de la création d'un environnement de télécommunications indépendant en fournissant aux utilisateurs finaux un accès aux ressources du réseau Yggdrasil grâce à l'utilisation de la technologie de transmission de données sans fil Wi-Fi.
Des passionnés de la communauté du fournisseur d'accès Internet décentralisé « Medium » créent leur propre moteur de recherche
Initialement en ligne Yggdrasil, que le fournisseur de services Internet décentralisé Medium utilise comme moyen de transport, ne disposait pas de son propre serveur DNS ni d'infrastructure à clé publique - cependant, la nécessité de délivrer des certificats de sécurité pour les services réseau Medium a résolu ces deux problèmes.
Pourquoi avez-vous besoin d’une PKI si Yggdrasil offre la possibilité de chiffrer le trafic entre pairs ?Il n'est pas nécessaire d'utiliser HTTPS pour vous connecter aux services Web sur le réseau Yggdrasil si vous vous y connectez via un routeur réseau Yggdrasil exécuté localement.
En effet : le transport d’Yggdrasil est à la hauteur protocole vous permet d'utiliser en toute sécurité les ressources du réseau Yggdrasil - la capacité de mener Attaques MITM complètement exclu.
La situation change radicalement si vous accédez aux ressources intranet d'Yggdarsil non pas directement, mais via un nœud intermédiaire - le point d'accès au réseau Medium, qui est administré par son opérateur.
Dans ce cas, qui peut compromettre les données que vous transmettez :
Opérateur de point d'accès. Il est évident que l'opérateur actuel du point d'accès au réseau Medium peut espionner le trafic non crypté qui transite par ses équipements.
décision: pour accéder aux services web au sein du réseau Yggdrasil, utilisez le protocole HTTPS (niveau 7 Modèles OSI). Le problème est qu'il n'est pas possible de délivrer un véritable certificat de sécurité pour les services réseau d'Yggdrasil par des moyens conventionnels tels que Chiffrons.
C'est pourquoi nous avons créé notre propre centre de certification - « Autorité de certification racine mondiale moyenne ». La grande majorité des services réseau Medium sont signés par le certificat de sécurité racine de l'autorité de certification intermédiaire « Medium Domain Validation Secure Server CA ».
La possibilité de compromettre le certificat racine de l'autorité de certification a bien sûr été prise en compte - mais ici le certificat est plus nécessaire pour confirmer l'intégrité de la transmission des données et éliminer la possibilité d'attaques MITM.
Les services réseau moyens de différents opérateurs ont des certificats de sécurité différents, d'une manière ou d'une autre signés par l'autorité de certification racine. Cependant, les opérateurs de l'autorité de certification racine ne sont pas en mesure d'écouter le trafic chiffré des services pour lesquels ils ont signé des certificats de sécurité (voir « Qu'est-ce que la RSE ? »).
Ceux qui sont particulièrement soucieux de leur sécurité peuvent utiliser des moyens tels qu'une protection supplémentaire, comme PGP и similaire.
Actuellement, l'infrastructure à clé publique du réseau Medium a la capacité de vérifier l'état d'un certificat à l'aide du protocole OCSP ou par l'utilisation CRL.
Plus près du point
Utilisateur @NXShock a commencé à développer un moteur de recherche de services Web situés sur le réseau Yggdrasil. Un aspect important est le fait que la détermination des adresses IPv6 des services lors d'une recherche s'effectue en envoyant une requête à un serveur DNS situé à l'intérieur du réseau Medium.
Le TLD principal est .ygg. La plupart des noms de domaine possèdent ce TLD, à deux exceptions près : .fai и .gg.
Le moteur de recherche est en cours de développement, mais son utilisation est déjà possible aujourd'hui - il suffit de visiter le site Internet recherche.medium.isp.
Medium a créé une nouvelle autorité de certification, Medium Global Root CA. Qui sera concerné par les changements ?
Hier, les tests publics de la fonctionnalité du centre de certification Medium Root CA ont été achevés. A l'issue des tests, des erreurs dans le fonctionnement des services d'infrastructure à clé publique ont été corrigées et un nouveau certificat racine de l'autorité de certification « Medium Global Root CA » a été créé.
Toutes les nuances et caractéristiques de PKI ont été prises en compte - désormais, le nouveau certificat CA « Medium Global Root CA » ne sera délivré que dix ans plus tard (après sa date d'expiration). Désormais, les certificats de sécurité ne sont délivrés que par des autorités de certification intermédiaires - par exemple, « Medium Domain Validation Secure Server CA ».
À quoi ressemble maintenant la chaîne de confiance des certificats ?
Que faut-il faire pour que tout fonctionne si vous êtes utilisateur :
Étant donné que certains services utilisent HSTS, avant d'utiliser les ressources réseau Medium, vous devez supprimer les données des ressources intranet Medium. Vous pouvez le faire dans l'onglet Historique de votre navigateur.
Que faut-il faire pour que tout fonctionne si vous êtes un opérateur système :
Vous devez réémettre le certificat de votre service sur la page pki.medium.isp (le service est disponible uniquement sur le réseau Medium).
Certificats de sécurité pour chaque foyer - comment créer votre propre service sur le réseau Yggdrasil et émettre un certificat SSL valide pour celui-ci
En raison de la croissance du nombre de services intranet sur le réseau Medium, la nécessité d'émettre de nouveaux certificats de sécurité et de configurer leurs services pour qu'ils prennent en charge SSL s'est accrue.
Puisque Habr est une ressource technique, dans chaque nouveau résumé, l'un des points de l'ordre du jour révélera les caractéristiques techniques de l'infrastructure du réseau Medium. Par exemple, vous trouverez ci-dessous des instructions complètes pour émettre un certificat SSL pour votre service.
Les exemples indiqueront le nom de domaine domaine.ygg, qui doit être remplacé par le nom de domaine de votre service.
Étape 1. Générer une clé privée et des paramètres Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Étape 3. Soumettre une demande de certificat
Pour ce faire, copiez le contenu du fichier domaine.ygg.csr et collez-le dans le champ de texte du site pki.medium.isp.
Suivez les instructions fournies sur le site Web, puis cliquez sur « Soumettre ». En cas de succès, un message sera envoyé à l'adresse email que vous avez indiquée contenant une pièce jointe sous la forme d'un certificat signé par une autorité de certification intermédiaire.
Étape 4. Configurez votre serveur Web
Si vous utilisez nginx comme serveur Web, utilisez la configuration suivante :
Dossier domaine.ygg.conf dans le répertoire /etc/nginx/sites-disponibles/
Le certificat que vous avez reçu par email doit être copié à : /etc/ssl/certs/domain.ygg.crt. Clé privée (domaine.ygg.key) placez-le dans un répertoire /etc/ssl/prive/.
Étape 5. Redémarrez votre serveur Web
sudo service nginx restart
L'Internet gratuit en Russie commence avec vous
Vous pouvez aujourd’hui apporter toute l’aide possible à l’établissement d’un Internet libre en Russie. Nous avons compilé une liste complète de la manière exacte dont vous pouvez aider le réseau :
Parlez du réseau Medium à vos amis et collègues. Partager référence à cet article sur les réseaux sociaux ou blog personnel
Participez à la discussion sur les problèmes techniques sur le réseau Medium sur GitHub
Créez votre service web sur le réseau Yggdrasil et ajoutez-le à DNS du réseau Medium