Escoitamos a frase "seguridade nacional" todo o tempo, pero cando o goberno comeza a vixiar as nosas comunicacións, gravándoas sen sospeitas cribles, base legal e sen ningún propósito aparente, debemos facernos a pregunta: ¿están protexendo realmente a seguridade nacional? protexen os seus?
- Edward Snowden
Con este resumo preténdese aumentar o interese da Comunidade pola cuestión da privacidade, que, á luz de tórnase máis relevante que nunca.
Na axenda:
Os entusiastas da comunidade do provedor de Internet descentralizado "Medium" están a crear o seu propio motor de busca
Medium estableceu unha nova autoridade de certificación, Medium Global Root CA. Quen se verá afectado polos cambios?
Certificados de seguridade para cada casa: como crear o seu propio servizo na rede Yggdrasil e emitir un certificado SSL válido para el
Lémbrame: que é "Medio"?
medio (Inglés medio - "intermediario", slogan orixinal - Non pidas a túa privacidade. Tómao de volta; tamén en inglés a palabra medio significa "intermedio"): un provedor de Internet descentralizado ruso que ofrece servizos de acceso á rede de balde.
Nome completo: provedor de servizos de Internet medio. Inicialmente o proxecto foi concibido como в .
Formado en abril de 2019 como parte da creación dun entorno de telecomunicacións independente que ofrece aos usuarios finais acceso aos recursos da rede Yggdrasil mediante o uso da tecnoloxía de transmisión de datos sen fíos Wi-Fi.
Máis información sobre o tema:
Os entusiastas da comunidade do provedor de Internet descentralizado "Medium" están a crear o seu propio motor de busca
Orixinalmente en liña , que o provedor de servizos de Internet descentralizado Medium utiliza como transporte, non tiña un servidor DNS propio nin unha infraestrutura de chave pública; porén, a necesidade de emitir certificados de seguridade para os servizos de rede Medium resolveu estes dous problemas.
Por que necesitas PKI se Yggdrasil ofrece a posibilidade de cifrar o tráfico entre pares?Non é necesario usar HTTPS para conectarse aos servizos web da rede Yggdrasil se se conecta a eles a través dun enrutador de rede Yggdrasil en execución local.
De feito: o transporte Yggdrasil está á par permítelle usar con seguridade os recursos dentro da rede Yggdrasil - a capacidade de conducir totalmente excluído.
A situación cambia radicalmente se accede aos recursos da intranet de Yggdarsil non directamente, senón a través dun nodo intermedio: o punto de acceso á rede Medium, que é administrado polo seu operador.
Neste caso, quen pode comprometer os datos que transmite:
- Operador de punto de acceso. É obvio que o operador actual do punto de acceso á rede Medium pode escoitar o tráfico sen cifrar que pasa polos seus equipos.
- intruso (). Medium ten un problema similar a , só en relación cos nodos de entrada e intermedios.
Isto é o que parece
decisión: para acceder aos servizos web dentro da rede Yggdrasil, use o protocolo HTTPS (nivel 7 ). O problema é que non é posible emitir un certificado de seguridade xenuíno para os servizos de rede Yggdrasil a través de medios convencionais como .
Polo tanto, creamos o noso propio centro de certificación - . A gran maioría dos servizos da rede Media están asinados polo certificado de seguridade raíz da autoridade de certificación intermedia Medium Domain Validation Secure Server CA.
Por suposto, tívose en conta a posibilidade de comprometer o certificado raíz da autoridade de certificación, pero aquí o certificado é máis necesario para confirmar a integridade da transmisión de datos e eliminar a posibilidade de ataques MITM.
Os servizos de rede medianas de diferentes operadores teñen certificados de seguridade diferentes, dun xeito ou doutro asinados pola autoridade de certificación raíz. Non obstante, os operadores de CA raíz non poden escoitar o tráfico cifrado dos servizos aos que asinaron certificados de seguridade (consulte ).
Aqueles que están especialmente preocupados pola súa seguridade poden utilizar medios como protección adicional, como и .
Actualmente, a infraestrutura de clave pública da rede Media ten a capacidade de comprobar o estado dun certificado mediante o protocolo ou mediante o uso .
Chegar ao grano
Usuario comezou a desenvolver un buscador de servizos web situados na rede Yggdrasil. Un aspecto importante é o feito de que a determinación das direccións IPv6 dos servizos ao realizar unha busca realízase mediante o envío dunha solicitude a un servidor DNS situado dentro da rede Medium.
O TLD principal é .ygg. A maioría dos nomes de dominio teñen este TLD, con dúas excepcións: .isp и .gg.
O buscador está en desenvolvemento, pero o seu uso xa é posible hoxe en día: só tes que visitar o sitio web .
Podes axudar ao desenvolvemento do proxecto, .
Medium estableceu unha nova autoridade de certificación, Medium Global Root CA. Quen se verá afectado polos cambios?
Onte concluíronse as probas públicas da funcionalidade do centro de certificación Medium Root CA. Ao final das probas, corrixíronse os erros no funcionamento dos servizos de infraestrutura de chave pública e creouse un novo certificado raíz da autoridade de certificación "Medium Global Root CA".
Tivéronse en conta todos os matices e características de PKI - agora o novo certificado CA "Medium Global Root CA" emitirase só dez anos despois (despois da súa data de caducidade). Agora os certificados de seguridade só emiten autoridades de certificación intermedias, por exemplo, "Validación de dominio medio Secure Server CA".
Como é agora a cadea de confianza de certificados?
O que hai que facer para que todo funcione se es usuario:
Dado que algúns servizos usan HSTS, antes de utilizar os recursos de rede de Medio, debes eliminar os datos dos recursos de intranet de Medio. Podes facelo na pestana Historial do teu navegador.
Tamén é necesario centro de certificación "Medium Global Root CA".
O que hai que facer para que todo funcione se es un operador do sistema:
Debes volver emitir o certificado para o teu servizo na páxina (o servizo só está dispoñible na rede Media).
Certificados de seguridade para cada casa: como crear o seu propio servizo na rede Yggdrasil e emitir un certificado SSL válido para el
Debido ao crecemento do número de servizos de intranet na rede Media, aumentou a necesidade de emitir novos certificados de seguridade e configurar os seus servizos para que admitan SSL.
Dado que Habr é un recurso técnico, en cada novo resumo un dos puntos da axenda revelará as características técnicas da infraestrutura de rede Media. Por exemplo, a continuación móstranse instrucións completas para emitir un certificado SSL para o teu servizo.
Os exemplos indicarán o nome de dominio dominio.ygg, que debe ser substituído polo nome de dominio do seu servizo.
Paso 1. Xera clave privada e parámetros Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Entón:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Paso 2. Crea unha solicitude de sinatura de certificado
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confContidos do ficheiro dominio.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Paso 3. Envía unha solicitude de certificado
Para iso, copie o contido do ficheiro dominio.ygg.csr e pégueo no campo de texto do sitio .
Siga as instrucións proporcionadas no sitio web e, a continuación, prema en "Enviar". Se ten éxito, enviarase unha mensaxe ao enderezo de correo electrónico que especificaches que contén un anexo en forma de certificado asinado por unha autoridade de certificación intermedia.
Paso 4. Configura o teu servidor web
Se está a usar nginx como servidor web, use a seguinte configuración:
arquivo dominio.ygg.conf no directorio /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
arquivo ssl-params.conf no directorio /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
arquivo dominio.ygg.conf no directorio /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
O certificado que recibiu por correo electrónico debe copiarse en: /etc/ssl/certs/domain.ygg.crt. Chave privada (dominio.ygg.key) colócao nun directorio /etc/ssl/privado/.
Paso 5. Reinicie o servidor web
sudo service nginx restartInternet gratuíto en Rusia comeza contigo
Podes ofrecer toda a asistencia posible para o establecemento dunha Internet gratuíta en Rusia hoxe. Elaboramos unha lista completa de como pode axudar a rede:
- Coméntale aos teus amigos e compañeiros sobre a rede Medium. Compartir a este artigo en redes sociais ou blog persoal
- Participa no debate de cuestións técnicas na rede Medium
- Crea o teu servizo web na rede Yggdrasil e engádeo
- Levanta o teu á rede Media
Lanzamentos anteriores:
Vexa tamén:
Estamos en Telegram:
Só os usuarios rexistrados poden participar na enquisa. , por favor.
Votación alternativa: é importante para nós coñecer a opinión dos que non teñen conta completa sobre Habré
-
↑
-
↓
Votaron 7 usuarios. 2 usuarios abstivéronse.
Fonte: www.habr.com