Bidh sinn a’ cluinntinn an abairt “tèarainteachd nàiseanta” fad na h-ùine, ach nuair a thòisicheas an riaghaltas a’ cumail sùil air ar conaltradh, gan clàradh gun amharas creidsinneach, bunait laghail agus gun adhbhar follaiseach, feumaidh sinn a’ cheist fhaighneachd dhuinn fhìn: a bheil iad dha-rìribh a’ dìon tèarainteachd nàiseanta no a bheil iad gan dìon fhèin?
- Eideard Snowden
Tha an geàrr-chunntas seo ag amas air ùidh na Coimhearsnachd ann an cùis dìomhaireachd àrdachadh, a tha, mar thoradh air fàs nas buntainniche na bha e a-riamh.
Air a’ chlàr:
Tha luchd-dealasach bho choimhearsnachd an t-solaraiche eadar-lìn dì-mheadhanaichte “Meadhanach” a’ cruthachadh an einnsean sgrùdaidh aca fhèin
Tha Medium air ùghdarras teisteanais ùr a stèidheachadh, Medium Global Root CA. Cò air am bi buaidh aig na h-atharrachaidhean?
Teisteanasan tèarainteachd airson a h-uile dachaigh - mar a chruthaicheas tu an t-seirbheis agad fhèin air lìonra Yggdrasil agus mar a bheir thu seachad teisteanas SSL dligheach air a shon
Cuimhnich dhomh - dè a th’ ann an “Meadhanach”?
tro Mheadhan na (Eng. tro Mheadhan na - “eadar-mheadhanair”, sluagh-ghairm tùsail - Na iarr do phrìobhaideachd. Thoir air ais e; cuideachd ann am Beurla am facal tro mheadhan na a’ ciallachadh “eadar-mheadhanach”) - solaraiche eadar-lìn dì-mheadhanaichte Ruiseanach a bheir seachad seirbheisean ruigsinneachd lìonra saor an-asgaidh.
Ainm slàn: Solaraiche Seirbheis Eadar-lìn Meadhanach. An toiseach chaidh am pròiseact a chruthachadh mar в .
Air a stèidheachadh sa Ghiblean 2019 mar phàirt de chruthachadh àrainneachd cian-conaltraidh neo-eisimeileach le bhith a’ toirt cothrom do luchd-cleachdaidh deireannach air goireasan lìonra Yggdrasil tro bhith a’ cleachdadh teicneòlas tar-chuir dàta gun uèir Wi-Fi.
Tuilleadh fiosrachaidh air a’ chuspair:
Tha luchd-dealasach bho choimhearsnachd an t-solaraiche eadar-lìn dì-mheadhanaichte “Meadhanach” a’ cruthachadh an einnsean sgrùdaidh aca fhèin
Air-loidhne bho thùs , a tha an solaraiche seirbheis eadar-lìn dì-mheadhanaichte Meadhanach a’ cleachdadh mar chòmhdhail, cha robh am frithealaiche DNS aige fhèin no bun-structar iuchair phoblach - ge-tà, dh’ fhuasgail an fheum air teisteanasan tèarainteachd a thoirt seachad airson seirbheisean lìonra Meadhanach an dà dhuilgheadas sin.
Carson a tha feum agad air PKI ma bheir Yggdrasil a-mach às a’ bhogsa comas trafaic a chrioptachadh eadar co-aoisean?Chan fheumar HTTPS a chleachdadh gus ceangal ri seirbheisean lìn air lìonra Yggdrasil ma cheanglas tu riutha tro router lìonra Yggdrasil a tha a’ ruith gu h-ionadail.
Gu dearbh: tha còmhdhail Yggdrasil air par a 'leigeil leat goireasan a chleachdadh gu sàbhailte taobh a-staigh lìonra Yggdrasil - an comas giùlan air an dùnadh a-mach gu tur.
Bidh an suidheachadh ag atharrachadh gu mòr ma gheibh thu cothrom air goireasan eadra-lìon Yggdarsil chan ann gu dìreach, ach tro nód eadar-mheadhanach - an t-àite inntrigidh lìonra Meadhanach, a tha air a rianachd leis a’ ghnìomhaiche aige.
Anns a 'chùis seo, cò as urrainn cron a dhèanamh air an dàta a chuireas tu seachad:
- Gnìomhaiche puing-inntrigidh. Tha e follaiseach gum faod gnìomhaiche gnàthach an àite inntrigidh lìonra Meadhanach èisteachd ri trafaic gun chrioptachadh a thèid tron uidheam aige.
- neach-ionnsaigh (). Meadhanach tha duilgheadas coltach ri , a-mhàin a thaobh cuir a-steach agus nodan eadar-mheadhanach.
Seo mar a tha e coltach
co-dhùnadh: gus faighinn gu seirbheisean lìn taobh a-staigh lìonra Yggdrasil, cleachd am protocol HTTPS (ìre 7 ). Is e an duilgheadas a th’ ann nach eil e comasach fìor theisteanas tèarainteachd a chuir a-mach airson seirbheisean lìonra Yggdrasil tro dhòighean àbhaisteach leithid .
Mar sin, stèidhich sinn ar n-ionad teisteanais fhèin - . Tha a’ mhòr-chuid de sheirbheisean anns an lìonra Meadhanach air an soidhnigeadh le teisteanas tèarainteachd freumh an ùghdarras teisteanais eadar-mheadhanach Dearbhadh Fearann meadhanach CA.
Gu dearbh, chaidh aire a thoirt don chomas a bhith a’ toirt buaidh air teisteanas freumh an ùghdarrais teisteanais - ach an seo tha an teisteanas nas riatanach gus ionracas tar-chuir dàta a dhearbhadh agus cuir às do chomas ionnsaighean MITM.
Tha teisteanasan tèarainteachd eadar-dhealaichte aig seirbheisean lìonra meadhanach bho dhiofar ghnìomhaichean, aon dòigh no dòigh eile air a shoidhnigeadh leis an ùghdarras teisteanais freumh. Ach, chan urrainn do ghnìomhaichean Root CA èisteachd ri trafaic crioptaichte bho sheirbheisean ris an do chuir iad ainm ri teisteanasan tèarainteachd (faic ).
Faodaidh an fheadhainn a tha gu sònraichte draghail mun sàbhailteachd aca dòighean leithid dìon a bharrachd a chleachdadh, leithid и .
An-dràsta, tha comas aig bun-structar iuchair phoblach an lìonra Meadhanach sgrùdadh a dhèanamh air inbhe teisteanais a’ cleachdadh a’ phròtacal no tro chleachdadh .
Faigh chun phuing
Cleachdaiche thòisich e a’ leasachadh einnsean sgrùdaidh airson seirbheisean lìn a tha suidhichte air lìonra Yggdrasil. Is e taobh chudromach an fhìrinn gu bheilear a’ dearbhadh seòlaidhean IPv6 seirbheisean nuair a bhios tu a’ dèanamh sgrùdadh le bhith a’ cur iarrtas gu frithealaiche DNS a tha taobh a-staigh an lìonra Meadhanach.
Tha a 'phrìomh ìre TLD .iog. Tha an TLD seo aig a’ mhòr-chuid de dh’ ainmean fearainn, le dà eisgeachd: .isp и .gg.
Tha an einnsean sgrùdaidh ga leasachadh, ach tha e comasach a chleachdadh mar-thà an-diugh - dìreach tadhal air an làrach-lìn .
Faodaidh tu cuideachadh le leasachadh a’ phròiseict, .
Tha Medium air ùghdarras teisteanais ùr a stèidheachadh, Medium Global Root CA. Cò air am bi buaidh aig na h-atharrachaidhean?
An-dè, chaidh deuchainn poblach air gnìomhachd ionad teisteanais CA Medium Root a chrìochnachadh. Aig deireadh an deuchainn, chaidh mearachdan ann an obrachadh prìomh sheirbheisean bun-structair poblach a cheartachadh agus chaidh teisteanas bunaiteach ùr bhon ùghdarras teisteanais “Medium Global Root CA” a chruthachadh.
Chaidh aire a thoirt do na nuances agus feartan PKI - a-nis cha tèid an teisteanas CA ùr “Medium Global Root CA” a chuir a-mach dìreach deich bliadhna às deidh sin (às deidh a cheann-latha crìochnachaidh). A-nis chan eil teisteanasan tèarainteachd air an toirt seachad ach le ùghdarrasan teisteanais eadar-mheadhanach - mar eisimpleir, “Medium Domain Validation Secure Server CA”.
Cò ris a tha an t-sreath earbsa teisteanais coltach a-nis?
Dè a dh'fheumar a dhèanamh airson a h-uile càil a bhith ag obair ma tha thu nad neach-cleachdaidh:
Leis gu bheil cuid de sheirbheisean a’ cleachdadh HSTS, mus cleachd thu goireasan lìonra Meadhanach, feumaidh tu dàta a sguabadh às bho ghoireasan eadra-lìon Meadhanach. Faodaidh tu seo a dhèanamh ann an tab Eachdraidh do bhrobhsair.
Tha feum air cuideachd ionad teisteanais "Medium Global Root CA".
Dè dh'fheumar a dhèanamh gus toirt air a h-uile càil obrachadh ma tha thu nad ghnìomhaiche siostam:
Feumaidh tu an teisteanas airson do sheirbheis ath-fhoillseachadh air an duilleag (chan eil an t-seirbheis ri fhaighinn ach air an lìonra Meadhanach).
Teisteanasan tèarainteachd airson a h-uile dachaigh - mar a chruthaicheas tu an t-seirbheis agad fhèin air lìonra Yggdrasil agus mar a bheir thu seachad teisteanas SSL dligheach air a shon
Mar thoradh air an fhàs anns an àireamh de sheirbheisean eadra-lìon air an lìonra Meadhanach, tha an fheum air teisteanasan tèarainteachd ùra a chuir a-mach agus na seirbheisean aca a rèiteachadh gus an cuir iad taic ri SSL air a dhol suas.
Leis gur e goireas teignigeach a th’ ann an Habr, anns gach cnàmhadh ùr nochdaidh aon de na stuthan clàr-gnothaich feartan teicnigeach bun-structair lìonra Meadhanach. Mar eisimpleir, gu h-ìosal tha stiùireadh farsaing airson teisteanas SSL a chuir a-mach airson do sheirbheis.
Bidh na h-eisimpleirean a’ comharrachadh an ainm fearainn fearann.ygg, a dh'fheumas ainm àrainn na seirbheis agad a chur na àite.
Step 1. Cruthaich iuchair phrìobhaideach agus crìochan Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048An uairsin:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Step 2. Cruthaich iarrtas soidhnidh teisteanais
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confSusbaint an fhaidhle àrainn.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Step 3. Cuir a-steach iarrtas teisteanais
Gus seo a dhèanamh, dèan lethbhreac de shusbaint an fhaidhle àrainn.ygg.csr agus cuir a-steach e don raon teacsa air an làrach .
Lean an stiùireadh air a thoirt seachad air an làrach-lìn, agus an uair sin briog air "Cuir a-steach". Ma shoirbhicheas leis, thèid teachdaireachd a chuir chun t-seòladh post-d a shònraich thu anns a bheil ceanglachan ann an cruth teisteanais air a shoidhnigeadh le ùghdarras teisteanais eadar-mheadhanach.
Step 4. Stèidhich am frithealaiche lìn agad
Ma tha thu a’ cleachdadh nginx mar an t-seirbheisiche lìn agad, cleachd an rèiteachadh a leanas:
faidhl àrainn.ygg.conf anns an eòlaire /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
faidhl ssl-params.conf anns an eòlaire /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
faidhl àrainn.ygg.conf anns an eòlaire /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Feumar lethbhreac a dhèanamh den teisteanas a fhuair thu tro phost-d gu: /etc/ssl/certs/domain.ygg.crt. iuchair phrìobhaideach (àrainn.ygg.key) cuir ann an eòlaire e /etc/ssl/prìobhaideach/.
Step 5. Ath-thòisich am frithealaiche lìn agad
sudo service nginx restartBidh eadar-lìn an-asgaidh san Ruis a’ tòiseachadh leat
Faodaidh tu a h-uile cuideachadh a thoirt seachad gus eadar-lìn an-asgaidh a stèidheachadh anns an Ruis an-diugh. Tha sinn air liosta fharsaing a chuir ri chèile de mar as urrainn dhut an lìonra a chuideachadh:
- Innis dha do charaidean is do cho-obraichean mun lìonra Meadhanach. Roinn don artaigil seo ann an lìonraidhean sòisealta no blog pearsanta
- Gabh pàirt ann an deasbad air cùisean teicnigeach an lìonra Meadhanach
- Cruthaich an t-seirbheis lìn agad air lìonra Yggdrasil agus cuir ris
- Àrdaich do don lìonra Meadhanach
Foillseachaidhean roimhe:
Leugh cuideachd:
Tha sinn ann an Telegram:
Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. , mas e do thoil e.
Bhòt eile: tha e cudromach gum bi fios againn air beachd an fheadhainn aig nach eil làn chunntas air Habré
-
↑
-
↓
Bhòt 7 neach-cleachdaidh. Cha do stad 2 neach-cleachdaidh.
Source: www.habr.com