Escoitamos a frase "seguridade nacional" todo o tempo, pero cando o goberno comeza a vixiar as nosas comunicacións, gravándoas sen sospeitas cribles, base legal e sen ningún propósito aparente, debemos facernos a pregunta: ¿están protexendo realmente a seguridade nacional? protexen os seus?
- Edward Snowden
Con este resumo preténdese aumentar o interese da Comunidade pola cuestión da privacidade, que, á luz de últimos eventos tórnase máis relevante que nunca.
Na axenda:
Os entusiastas da comunidade do provedor de Internet descentralizado "Medium" están a crear o seu propio motor de busca
Medium estableceu unha nova autoridade de certificación, Medium Global Root CA. Quen se verá afectado polos cambios?
Certificados de seguridade para cada casa: como crear o seu propio servizo na rede Yggdrasil e emitir un certificado SSL válido para el
Lémbrame: que é "Medio"?
medio (Inglés medio - "intermediario", slogan orixinal - Non pidas a túa privacidade. Tómao de volta; tamén en inglés a palabra medio significa "intermedio"): un provedor de Internet descentralizado ruso que ofrece servizos de acceso á rede Yggdrasil de balde.
Formado en abril de 2019 como parte da creación dun entorno de telecomunicacións independente que ofrece aos usuarios finais acceso aos recursos da rede Yggdrasil mediante o uso da tecnoloxía de transmisión de datos sen fíos Wi-Fi.
Os entusiastas da comunidade do provedor de Internet descentralizado "Medium" están a crear o seu propio motor de busca
Orixinalmente en liña Yggdrasil, que o provedor de servizos de Internet descentralizado Medium utiliza como transporte, non tiña un servidor DNS propio nin unha infraestrutura de chave pública; porén, a necesidade de emitir certificados de seguridade para os servizos de rede Medium resolveu estes dous problemas.
Por que necesitas PKI se Yggdrasil ofrece a posibilidade de cifrar o tráfico entre pares?Non é necesario usar HTTPS para conectarse aos servizos web da rede Yggdrasil se se conecta a eles a través dun enrutador de rede Yggdrasil en execución local.
De feito: o transporte Yggdrasil está á par protocolo permítelle usar con seguridade os recursos dentro da rede Yggdrasil - a capacidade de conducir Ataques MITM totalmente excluído.
A situación cambia radicalmente se accede aos recursos da intranet de Yggdarsil non directamente, senón a través dun nodo intermedio: o punto de acceso á rede Medium, que é administrado polo seu operador.
Neste caso, quen pode comprometer os datos que transmite:
Operador de punto de acceso. É obvio que o operador actual do punto de acceso á rede Medium pode escoitar o tráfico sen cifrar que pasa polos seus equipos.
decisión: para acceder aos servizos web dentro da rede Yggdrasil, use o protocolo HTTPS (nivel 7 Modelos OSI). O problema é que non é posible emitir un certificado de seguridade xenuíno para os servizos de rede Yggdrasil a través de medios convencionais como Imos cifrar.
Polo tanto, creamos o noso propio centro de certificación - "CA raíz global media". A gran maioría dos servizos da rede Media están asinados polo certificado de seguridade raíz da autoridade de certificación intermedia Medium Domain Validation Secure Server CA.
Por suposto, tívose en conta a posibilidade de comprometer o certificado raíz da autoridade de certificación, pero aquí o certificado é máis necesario para confirmar a integridade da transmisión de datos e eliminar a posibilidade de ataques MITM.
Os servizos de rede medianas de diferentes operadores teñen certificados de seguridade diferentes, dun xeito ou doutro asinados pola autoridade de certificación raíz. Non obstante, os operadores de CA raíz non poden escoitar o tráfico cifrado dos servizos aos que asinaron certificados de seguridade (consulte "Que é a RSE?").
Aqueles que están especialmente preocupados pola súa seguridade poden utilizar medios como protección adicional, como PGP и similar.
Actualmente, a infraestrutura de clave pública da rede Media ten a capacidade de comprobar o estado dun certificado mediante o protocolo OCSP ou mediante o uso C.R.L..
Chegar ao grano
Usuario @NXShock comezou a desenvolver un buscador de servizos web situados na rede Yggdrasil. Un aspecto importante é o feito de que a determinación das direccións IPv6 dos servizos ao realizar unha busca realízase mediante o envío dunha solicitude a un servidor DNS situado dentro da rede Medium.
O TLD principal é .ygg. A maioría dos nomes de dominio teñen este TLD, con dúas excepcións: .isp и .gg.
O buscador está en desenvolvemento, pero o seu uso xa é posible hoxe en día: só tes que visitar o sitio web buscar.medio.isp.
Medium estableceu unha nova autoridade de certificación, Medium Global Root CA. Quen se verá afectado polos cambios?
Onte concluíronse as probas públicas da funcionalidade do centro de certificación Medium Root CA. Ao final das probas, corrixíronse os erros no funcionamento dos servizos de infraestrutura de chave pública e creouse un novo certificado raíz da autoridade de certificación "Medium Global Root CA".
Tivéronse en conta todos os matices e características de PKI - agora o novo certificado CA "Medium Global Root CA" emitirase só dez anos despois (despois da súa data de caducidade). Agora os certificados de seguridade só emiten autoridades de certificación intermedias, por exemplo, "Validación de dominio medio Secure Server CA".
Como é agora a cadea de confianza de certificados?
O que hai que facer para que todo funcione se es usuario:
Dado que algúns servizos usan HSTS, antes de utilizar os recursos de rede de Medio, debes eliminar os datos dos recursos de intranet de Medio. Podes facelo na pestana Historial do teu navegador.
O que hai que facer para que todo funcione se es un operador do sistema:
Debes volver emitir o certificado para o teu servizo na páxina pki.medium.isp (o servizo só está dispoñible na rede Media).
Certificados de seguridade para cada casa: como crear o seu propio servizo na rede Yggdrasil e emitir un certificado SSL válido para el
Debido ao crecemento do número de servizos de intranet na rede Media, aumentou a necesidade de emitir novos certificados de seguridade e configurar os seus servizos para que admitan SSL.
Dado que Habr é un recurso técnico, en cada novo resumo un dos puntos da axenda revelará as características técnicas da infraestrutura de rede Media. Por exemplo, a continuación móstranse instrucións completas para emitir un certificado SSL para o teu servizo.
Os exemplos indicarán o nome de dominio dominio.ygg, que debe ser substituído polo nome de dominio do seu servizo.
Paso 1. Xera clave privada e parámetros Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Paso 3. Envía unha solicitude de certificado
Para iso, copie o contido do ficheiro dominio.ygg.csr e pégueo no campo de texto do sitio pki.medium.isp.
Siga as instrucións proporcionadas no sitio web e, a continuación, prema en "Enviar". Se ten éxito, enviarase unha mensaxe ao enderezo de correo electrónico que especificaches que contén un anexo en forma de certificado asinado por unha autoridade de certificación intermedia.
Paso 4. Configura o teu servidor web
Se está a usar nginx como servidor web, use a seguinte configuración:
arquivo dominio.ygg.conf no directorio /etc/nginx/sites-available/
O certificado que recibiu por correo electrónico debe copiarse en: /etc/ssl/certs/domain.ygg.crt. Chave privada (dominio.ygg.key) colócao nun directorio /etc/ssl/privado/.
Paso 5. Reinicie o servidor web
sudo service nginx restart
Internet gratuíto en Rusia comeza contigo
Podes ofrecer toda a asistencia posible para o establecemento dunha Internet gratuíta en Rusia hoxe. Elaboramos unha lista completa de como pode axudar a rede:
Coméntale aos teus amigos e compañeiros sobre a rede Medium. Compartir referencia a este artigo en redes sociais ou blog persoal
Participa no debate de cuestións técnicas na rede Medium en github
Crea o teu servizo web na rede Yggdrasil e engádeo DNS da rede Media