Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Dizze digest is bedoeld om it belang fan 'e Mienskip yn' e kwestje fan privacy te fergrutsjen, dy't yn it ljocht fan lêste eveneminten wurdt relevanter as ea earder.
Op de aginda:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Herinner my - wat is "Medium"?
medium (eng. medium - "intermediair", orizjinele slogan - Freegje net om jo privacy. Nim it werom; ek yn it Ingelsk it wurd medium betsjut "tusken") - in Russyske desintralisearre ynternetprovider dy't tsjinsten foar netwurk tagong leveret Yggdrasil fergees.
Formearre yn april 2019 as ûnderdiel fan 'e skepping fan in ûnôfhinklike telekommunikaasjeomjouwing troch ein brûkers tagong te jaan ta Yggdrasil-netwurkboarnen troch it brûken fan Wi-Fi draadloze gegevensferfiertechnology.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?It is net nedich om HTTPS te brûken om te ferbinen mei webtsjinsten op it Yggdrasil-netwurk as jo ferbining meitsje mei har fia in lokaal rinnende Yggdrasil-netwurkrouter.
Yndied: Yggdrasil ferfier is op par protokol kinne jo feilich brûke boarnen binnen de Yggdrasil netwurk - de mooglikheid om te fieren MITM oanfallen folslein útsletten.
De situaasje feroaret radikaal as jo tagong krije ta Yggdarsil's intranet-boarnen net direkt, mar fia in tuskenknooppunt - it Medium netwurk tagongspunt, dat wurdt beheard troch syn operator.
Wa kin yn dit gefal de gegevens kompromittearje dy't jo stjoere:
Tagongspunt operator. It is fanselssprekkend dat de hjoeddeistige operator fan it Medium netwurk tagongspunt kin ôflústerje op ûnfersifere ferkear dat troch har apparatuer giet.
ynbrekker (man yn 'e midden). Medium hat in probleem fergelykber mei Tor netwurk probleem, allinich yn relaasje ta ynfier- en tuskenknooppunten.
Dit is wat it liket
beslút: om tagong te krijen ta webtsjinsten binnen it Yggdrasil-netwurk, brûk it HTTPS-protokol (nivo 7 OSI modellen). It probleem is dat it net mooglik is om in echt feiligenssertifikaat út te jaan foar Yggdrasil netwurktsjinsten fia konvinsjonele middels lykas Let's Encrypt.
Dêrom hawwe wy ús eigen sertifikaasjesintrum oprjochte - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
De mooglikheid om it root-sertifikaat fan 'e sertifikaasjeautoriteit te kompromittearjen waard fansels rekken holden - mar hjir is it sertifikaat mear nedich om de yntegriteit fan gegevensferfier te befestigjen en de mooglikheid fan MITM-oanfallen te eliminearjen.
Medium netwurktsjinsten fan ferskate operators hawwe ferskillende feiligenssertifikaten, op ien of oare manier tekene troch de root-sertifikaasjeautoriteit. Root CA-operators kinne lykwols net ôflústerje op fersifere ferkear fan tsjinsten wêrmei se befeiligingssertifikaten hawwe tekene (sjoch "Wat is CSR?").
Wa't benammen soargen oer har feiligens hat, kin gebrûk meitsje fan middels as ekstra beskerming, lykas PGP и likegoed.
Op it stuit hat de iepenbiere kaai-ynfrastruktuer fan it Medium netwurk de mooglikheid om de status fan in sertifikaat te kontrolearjen mei it protokol OCSP of troch gebrûk C.R.L..
Kom ta de saak
Brûker @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Step 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Step 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Step 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
file domain.ygg.conf yn de map /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Step 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Fergees ynternet yn Ruslân begjint mei jo
Jo kinne hjoed alle mooglike assistinsje leverje foar it oprjochtsjen fan in fergees ynternet yn Ruslân. Wy hawwe in wiidweidige list gearstald fan krekt hoe't jo it netwurk kinne helpe:
Fertel jo freonen en kollega's oer it Medium netwurk. Diele referinsje nei dit artikel op sosjale netwurken of persoanlike blog
Nim diel oan 'e diskusje oer technyske problemen op it Medium netwurk op GitHub