Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- ʻO Edward Snowden
ʻO kēia digest ka mea i manaʻo ʻia e hoʻonui i ka makemake o ke Kaiāulu i ka pilikia o ka pilikino, ʻo ia hoʻi, ma ka mālamalama o lilo i mea pili ma mua o ka wā ma mua.
Ma ka papahana:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
E hoʻomanaʻo mai iaʻu - he aha ka "Medium"?
Medium (Eng. Medium - “intermediary”, slogan kumu - Mai noi i kou pilikino. E hoʻihoʻi; ma ka ʻōlelo Pelekania kekahi meakino 'o ia ho'i "waena") - he mea ho'olako pūnaewele i ho'olaha 'ia e Rūsia e hā'awi ana i nā lawelawe komo pūnaewele manuahi ʻole.
Inoa piha: Mea hoʻolako kikowaena pūnaewele waena. I ka wā mua, ua manaʻo ʻia ka papahana в .
Hoʻokumu ʻia ma ʻApelila 2019 ma ke ʻano he ʻāpana o ka hoʻokumu ʻana i kahi kaiapuni kelepona kūʻokoʻa ma o ka hāʻawi ʻana i nā mea hoʻohana hope me ke komo ʻana i nā kumuwaiwai pūnaewele ʻo Yggdrasil ma o ka hoʻohana ʻana i ka ʻenehana hoʻoili ʻikepili uila Wi-Fi.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?ʻAʻohe pono e hoʻohana i ka HTTPS e hoʻopili i nā lawelawe pūnaewele ma ka pūnaewele Yggdrasil inā ʻoe e hoʻopili iā lākou ma o kahi mea hoʻokele pūnaewele Yggdrasil e holo nei.
ʻOiaʻiʻo: Aia ka halihali Yggdrasil ma ka par hiki iā ʻoe ke hoʻohana palekana i nā kumuwaiwai i loko o ka pūnaewele Yggdrasil - ka hiki ke alakaʻi kaawale loa.
Hoʻololi maoli ke kūlana inā ʻoe e komo i nā kumuwaiwai intranet o Yggdarsil ʻaʻole pololei, akā ma o kahi node waena - ka wahi kikowaena pūnaewele Medium, i lawelawe ʻia e kāna mea hoʻohana.
I kēia hihia, ʻo wai ka mea hiki ke hoʻololi i ka ʻikepili āu e hoʻouna ai:
- Mea hoʻohana wahi komo. ʻIke ʻia e hiki i ka mea hoʻohana i kēia manawa o ke kikowaena pūnaewele Medium ke hoʻolohe i nā kaʻa i hoʻopili ʻole ʻia e hele ana i kāna mau mea hana.
- mea komo hewa (). He pilikia like ka Medium , pili wale i nā node hoʻokomo a me waena.
Penei kona ano
olelo hooholo: e komo i nā lawelawe pūnaewele i loko o ka pūnaewele Yggdrasil, e hoʻohana i ka protocol HTTPS (pae 7 ). ʻO ka pilikia ʻaʻole hiki ke hoʻopuka i kahi palapala palekana maoli no nā lawelawe pūnaewele Yggdrasil ma o nā ala maʻamau e like me .
No laila, ua hoʻokumu mākou i kā mākou kikowaena hōʻoia - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
ʻO ka hiki ke hoʻololi i ka palapala kumu o ka mana hōʻoia, ʻoiaʻiʻo, ua noʻonoʻo ʻia - akā eia ka palapala e pono ai e hōʻoia i ka pono o ka lawe ʻana i ka ʻikepili a hoʻopau i ka hiki ke hoʻouka ʻia e MITM.
Loaʻa nā palapala hōʻoia palekana ʻokoʻa nā lawelawe ʻoihana waena mai nā mea hana like ʻole, hoʻokahi ala a i ʻole i kau inoa ʻia e ka mana hōʻoia kumu. Eia nō naʻe, ʻaʻole hiki i nā mea hoʻohana Root CA ke hoʻolohe i nā kaʻa i hoʻopili ʻia mai nā lawelawe a lākou i kau inoa ai i nā palapala hōʻoia palekana (e nānā ).
Hiki i ka poʻe e hopohopo nui nei i ko lākou palekana ke hoʻohana i nā ala e like me ka pale hou aku, e like me и .
I kēia manawa, hiki i ka ʻōnaehana kī lehulehu o ka pūnaewele Medium ke nānā i ke kūlana o kahi palapala e hoʻohana ana i ka protocol a i ʻole ma o ka hoʻohana ʻana .
E hele i ke kiko
Mea hoʻohana начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Pono nō hoʻi удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Kai 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048A laila:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Kai 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confwaihona waihona domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Kai 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Kai 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
waihona domain.ygg.conf ma ka papa kuhikuhi /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
waihona ssl-params.conf ma ka papa kuhikuhi /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
waihona domain.ygg.conf ma ka papa kuhikuhi /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Kai 5. Перезапустите ваш веб-сервер
sudo service nginx restartHoʻomaka ka pūnaewele manuahi ma Rusia me ʻoe
Hiki iā ʻoe ke hāʻawi i nā kōkua āpau i ka hoʻokumu ʻana i kahi Pūnaewele manuahi ma Rusia i kēia lā. Ua hōʻuluʻulu mākou i kahi papa inoa piha o ka pehea e hiki ai iā ʻoe ke kōkua i ka pūnaewele:
- E haʻi i kāu mau hoaaloha a me nā hoahana e pili ana i ka pūnaewele Medium. Kaʻana like i kēia ʻatikala ma nā pūnaewele kaiapili a i ʻole blog pilikino
- E komo i ke kūkākūkā o nā pilikia ʻenehana ma ka pūnaewele Medium
- E hana i kāu lawelawe pūnaewele ma ka pūnaewele Yggdrasil a hoʻohui iā ia
- E hāpai i kāu i ka pūnaewele Medium
Nā hoʻopuka mua:
E heluhelu pū hoʻi:
Aia mākou ma Telegram:
Hiki i nā mea hoʻohana i hoʻopaʻa inoa ʻia ke komo i ka noiʻi. , e 'oluʻolu.
ʻO ke koho balota ʻē aʻe: he mea nui iā mākou ke ʻike i ka manaʻo o ka poʻe ʻaʻole kā lākou moʻokāki piha ma Habré
-
↑
-
↓
7 mea hoʻohana i koho. Ua hōʻole nā mea hoʻohana 2.
Source: www.habr.com