Stalno čujemo sintagmu “nacionalna sigurnost”, ali kada vlast počne nadzirati naše komunikacije, snimati ih bez vjerodostojne sumnje, pravne osnove i bez ikakve očite svrhe, moramo se zapitati: štite li one doista nacionalnu sigurnost ili štite li oni svoje?
- Edward Snowden
Ovaj sažetak ima za cilj povećati interes Zajednice za pitanje privatnosti, koje, u svjetlu postaje relevantniji nego ikad prije.
Na dnevnom redu:
Entuzijasti iz zajednice decentraliziranog internet provajdera “Medium” stvaraju vlastitu tražilicu
Medium je uspostavio novo certifikacijsko tijelo, Medium Global Root CA. Na koga će utjecati promjene?
Sigurnosni certifikati za svaki dom - kako kreirati vlastitu uslugu na mreži Yggdrasil i za nju izdati važeći SSL certifikat
Podsjeti me - što je "Srednji"?
Srednji (Hrvatski Srednji - “posrednik”, izvorni slogan - Ne tražite svoju privatnost. Povuci to; također u engleskom riječ srednji znači "srednji") - ruski decentralizirani pružatelj internetskih usluga koji pruža usluge pristupa mreži besplatno.
Puni naziv: srednji davatelj internetskih usluga. U početku je projekt zamišljen kao в .
Formirana u travnju 2019. u sklopu stvaranja neovisnog telekomunikacijskog okruženja pružanjem krajnjim korisnicima pristupa Yggdrasil mrežnim resursima korištenjem Wi-Fi tehnologije bežičnog prijenosa podataka.
Više informacija o temi:
Entuzijasti iz zajednice decentraliziranog internet provajdera “Medium” stvaraju vlastitu tražilicu
Izvorno online , koji decentralizirani pružatelj internetskih usluga Medium koristi kao transport, nije imao vlastiti DNS poslužitelj niti infrastrukturu javnih ključeva – međutim, potreba za izdavanjem sigurnosnih certifikata za Medium mrežne usluge riješila je ova dva problema.
Zašto vam je potreban PKI ako Yggdrasil izvan kutije pruža mogućnost šifriranja prometa između peerova?Nema potrebe za korištenjem HTTPS-a za povezivanje s web-uslugama na Yggdrasil mreži ako se s njima povezujete putem lokalno pokrenutog Yggdrasil mrežnog usmjerivača.
Zaista: Yggdrasil transport je na razini omogućuje vam sigurno korištenje resursa unutar mreže Yggdrasil - sposobnost vođenja potpuno isključena.
Situacija se radikalno mijenja ako intranetskim resursima Yggdarsila ne pristupate izravno, već putem posrednog čvora - pristupne točke srednje mreže, kojom upravlja njezin operater.
U ovom slučaju, tko može ugroziti podatke koje prenosite:
- Operater pristupne točke. Očito je da trenutni operater srednje pristupne točke mreže može prisluškivati nekriptirani promet koji prolazi kroz njegovu opremu.
- uljez (). Medij ima problem sličan , samo u odnosu na ulazne i međučvorove.
Ovako to izgleda
odluka: za pristup web uslugama unutar Yggdrasil mreže koristite HTTPS protokol (razina 7 ). Problem je u tome što nije moguće izdati pravi sigurnosni certifikat za mrežne usluge Yggdrasil putem konvencionalnih sredstava kao što je .
Stoga smo osnovali vlastiti certifikacijski centar - . Velika većina usluga u mreži Medium potpisana je korijenskim sigurnosnim certifikatom posredničkog certifikacijskog tijela Medium Domain Validation Secure Server CA.
Naravno, uzeta je u obzir mogućnost kompromitiranja korijenskog certifikata certifikacijskog tijela – no ovdje je certifikat potrebniji za potvrdu integriteta prijenosa podataka i otklanjanje mogućnosti MITM napada.
Usluge srednje mreže različitih operatera imaju različite sigurnosne certifikate, na ovaj ili onaj način potpisane od strane glavnog certifikacijskog tijela. Međutim, Root CA operateri ne mogu prisluškivati šifrirani promet usluga za koje su potpisali sigurnosne certifikate (pogledajte ).
Oni koji su posebno zabrinuti za svoju sigurnost mogu koristiti takva sredstva kao dodatnu zaštitu, kao npr и .
Trenutačno infrastruktura javnih ključeva mreže Medium ima mogućnost provjere statusa certifikata pomoću protokola ili kroz korištenje .
Bliže stvarima
Korisnik počeo razvijati tražilicu za web usluge smještene na mreži Yggdrasil. Važan aspekt je činjenica da se određivanje IPv6 adresa servisa prilikom pretraživanja provodi slanjem zahtjeva DNS poslužitelju koji se nalazi unutar Medium mreže.
Glavni TLD je .ygg. Većina naziva domena ima ovaj TLD, uz dvije iznimke: .isp и .gg.
Tražilica je u razvoju, ali je njezino korištenje moguće već danas - samo posjetite web stranicu .
Možete pomoći razvoju projekta, .
Medium je uspostavio novo certifikacijsko tijelo, Medium Global Root CA. Na koga će utjecati promjene?
Jučer je završeno javno testiranje funkcionalnosti Medium Root CA certifikacijskog centra. Na kraju testiranja ispravljene su greške u radu infrastrukturnih servisa javnih ključeva te je kreiran novi root certifikat certifikacijske kuće “Medium Global Root CA”.
Uzete su u obzir sve nijanse i značajke PKI-ja - sada će novi CA certifikat "Medium Global Root CA" biti izdan tek deset godina kasnije (nakon datuma isteka). Sada sigurnosne certifikate izdaju samo središnja tijela za izdavanje certifikata - na primjer, "Medium Domain Validation Secure Server CA".
Kako sada izgleda lanac povjerenja certifikata?
Što je potrebno napraviti da bi sve funkcioniralo ako ste korisnik:
Budući da neke usluge koriste HSTS, prije korištenja resursa srednje mreže morate izbrisati podatke iz resursa srednje intraneta. To možete učiniti u kartici Povijest vašeg preglednika.
Također je potrebno certifikacijski centar "Medium Global Root CA".
Što je potrebno napraviti da sve funkcionira ako ste operater sustava:
Morate ponovno izdati certifikat za svoju uslugu na stranici (usluga je dostupna samo na Medium mreži).
Sigurnosni certifikati za svaki dom - kako kreirati vlastitu uslugu na mreži Yggdrasil i za nju izdati važeći SSL certifikat
Zbog porasta broja intranet servisa na Medium mreži, povećala se potreba za izdavanjem novih sigurnosnih certifikata i konfiguriranjem servisa tako da podržavaju SSL.
Budući da je Habr tehnički resurs, u svakom novom sažetku jedna od točaka dnevnog reda otkrit će tehničke značajke srednje mrežne infrastrukture. Na primjer, u nastavku su opsežne upute za izdavanje SSL certifikata za vašu uslugu.
Primjeri će navesti naziv domene domena.ygg, koji se mora zamijeniti nazivom domene vaše usluge.
Korak 1. Generirajte privatni ključ i Diffie-Hellman parametre
openssl genrsa -out domain.ygg.key 2048Zatim:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Korak 2. Kreirajte zahtjev za potpisivanje certifikata
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confSadržaj datoteke domena.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Korak 3. Podnesite zahtjev za certifikat
Da biste to učinili, kopirajte sadržaj datoteke domena.ygg.csr i zalijepite ga u tekstualno polje na stranici .
Slijedite upute na web stranici, a zatim kliknite "Pošalji". Ako bude uspješno, poruka će biti poslana na adresu e-pošte koju ste naveli s privitkom u obliku certifikata potpisanog od strane posredničkog tijela za izdavanje certifikata.
Korak 4. Postavite svoj web poslužitelj
Ako koristite nginx kao web poslužitelj, koristite sljedeću konfiguraciju:
datoteka domena.ygg.conf u imeniku /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
datoteka ssl-params.conf u imeniku /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
datoteka domena.ygg.conf u imeniku /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Certifikat koji ste primili e-poštom morate kopirati na: /etc/ssl/certs/domain.ygg.crt. Privatni ključ (domena.ygg.ključ) smjestite ga u imenik /etc/ssl/privatno/.
Korak 5. Ponovno pokrenite web poslužitelj
sudo service nginx restartBesplatan internet u Rusiji počinje s vama
Možete pružiti svu moguću pomoć za uspostavu besplatnog interneta u Rusiji danas. Sastavili smo opsežan popis kako točno možete pomoći mreži:
- Recite svojim prijateljima i kolegama o mreži Medium. Udio ovom članku na društvenim mrežama ili osobnom blogu
- Sudjelujte u raspravi o tehničkim pitanjima na mreži Medium
- Stvorite svoju web uslugu na Yggdrasil mreži i dodajte je
- Podigni svoje na srednju mrežu
Prethodna izdanja:
Vidi također:
Mi u Telegramu:
U anketi mogu sudjelovati samo registrirani korisnici. , molim.
Alternativno glasovanje: važno nam je znati mišljenje onih koji nemaju puni račun na Habréu
-
↑
-
↓
Glasovalo je 7 korisnika. Suzdržana su bila 2 korisnika.
Izvor: www.habr.com