Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Tá sé mar aidhm ag an achoimre seo suim an Chomhphobail i saincheist na príobháideachta a mhéadú, rud, i bhfianaise éiríonn níos ábhartha ná riamh.
Ar an gclár oibre:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Cuir i gcuimhne dom - cad is “Meánach” ann?
Meánach (Béarla Meánach - “idirghabhálaí”, mana bunaidh - Ná iarr do phríobháideachas. Tóg ar ais é; freisin i mBéarla an focal mheán ciallaíonn “idirmheánach”) - soláthraí Idirlín díláraithe na Rúise a sholáthraíonn seirbhísí rochtana líonra saor in aisce.
Ainm iomlán: Soláthraí Seirbhíse Meán Idirlín. Ar dtús ceapadh an tionscadal mar в .
Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.
Tuilleadh eolais ar an ábhar:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Ní gá HTTPS a úsáid chun nascadh le seirbhísí gréasáin ar líonra Yggdrasil má nascann tú leo trí ródaire líonra Yggdrasil a ritheann go háitiúil.
Go deimhin: Tá iompar Yggdrasil ar par ligeann duit acmhainní a úsáid go sábháilte laistigh de líonra Yggdrasil - an cumas a sheoladh eisiata go hiomlán.
Athraíonn an scéal go mór má dhéanann tú rochtain ar acmhainní inlín Yggdarsil ní go díreach, ach trí nód idirmheánach - an pointe rochtana líonra Meánach, atá á riar ag an oibreoir.
Sa chás seo, cé na daoine ar féidir leo na sonraí a tharchuireann tú a chomhréiteach:
- Oibreoir pointe rochtana. Is léir gur féidir le hoibreoir reatha an phointe rochtana líonra Meánach súil a chaitheamh ar thrácht neamhchriptithe a théann trína threalamh.
- ionróir (). Meán Tá fadhb cosúil le , ach amháin maidir le nóid ionchuir agus idirmheánacha.
Seo an chuma atá air
cinneadh: chun rochtain a fháil ar sheirbhísí gréasáin laistigh de líonra Yggdrasil, bain úsáid as prótacal HTTPS (leibhéal 7 ). Is í an fhadhb atá ann ná nach féidir fíor-dheimhniú slándála a eisiúint do sheirbhísí líonra Yggdrasil trí ghnáthbhealaí mar .
Mar sin, bhunaíomar ár n-ionad deimhniúcháin féin - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Cuireadh san áireamh, ar ndóigh, an fhéidearthacht go ndéanfaí dochar do fhréamh-dheimhniú an údaráis deimhniúcháin - ach anseo tá an deimhniú níos riachtanach chun sláine an tarchuir sonraí a dhearbhú agus deireadh a chur leis an bhféidearthacht go ndéanfaí ionsaithe MITM.
Tá deimhnithe slándála éagsúla ag seirbhísí meánlíonra ó oibreoirí éagsúla, bealach amháin nó bealach eile sínithe ag an údarás deimhniúcháin fréimhe. Mar sin féin, ní féidir le hoibreoirí Root CA cluasáin a dhéanamh ar thrácht criptithe ó sheirbhísí a bhfuil deimhnithe slándála sínithe acu leo (féach ).
Is féidir leo siúd atá buartha go háirithe faoina sábháilteacht modhanna amhail cosaint bhreise a úsáid, mar shampla и .
Faoi láthair, tá an cumas ag bonneagar eochair phoiblí an líonra Meánach stádas deimhnithe a sheiceáil ag baint úsáide as an bprótacal nó trí úsáid .
Faigh go dtí an pointe
Úsáideoir начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Tá sé riachtanach freisin удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Céim 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Ansin:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Céim 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confÁbhar an chomhaid domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Céim 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Céim 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
comhad domain.ygg.conf san eolaire /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
comhad ssl-params.conf san eolaire /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
comhad domain.ygg.conf san eolaire /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Céim 5. Перезапустите ваш веб-сервер
sudo service nginx restartTosaíonn Idirlíon saor in aisce sa Rúis leat
Is féidir leat gach cúnamh is féidir a sholáthar chun Idirlíon saor in aisce a bhunú sa Rúis inniu. Tá liosta cuimsitheach curtha le chéile againn de go beacht conas is féidir leat cabhrú leis an líonra:
- Inis do do chairde agus do chomhghleacaithe faoin líonra Meánach. Comhroinn chuig an Airteagal seo ar líonraí sóisialta nó blag pearsanta
- Glac páirt sa phlé ar shaincheisteanna teicniúla ar an ngréasán Meánach
- Cruthaigh do sheirbhís gréasáin ar líonra Yggdrasil agus cuir leis
- Ardaigh mise don líonra Meánach
Eisiúintí roimhe seo:
Féach freisin:
Táimid ag Telegram:
Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. , le do thoil.
Vótáil mhalartach: tá sé tábhachtach go mbeadh a fhios againn tuairim na ndaoine sin nach bhfuil cuntas iomlán acu ar Habré
-
↑
-
↓
Vótáil 7 úsáideoir. Staon 2 úsáideoir.
Foinse: will.com