Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Sa a dijere gen entansyon ogmante enterè Kominote a nan pwoblèm nan nan vi prive, ki, nan limyè de dènye evènman yo vin pi enpòtan pase tout tan anvan.
Sou ajanda a:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Fè m sonje - ki sa ki "Mwayen"?
mwayen (Angle mwayen — “entèmedyè”, eslogan orijinal — Pa mande enfòmasyon prive ou. pran li tounen; tou nan mo angle mwayen vle di "entèmedyè") - yon founisè entènèt desantralize Ris ki bay sèvis aksè rezo Yggdrasil gratis.
Non konplè: Medium Internet Service Provider. Okòmansman pwojè a te vin ansent kòm rezo may в Kolomna iben distri.
Te fòme nan mwa avril 2019 kòm yon pati nan kreyasyon yon anviwònman telekominikasyon endepandan lè li bay itilizatè fen aksè a resous rezo Yggdrasil atravè itilizasyon teknoloji transmisyon done Wi-Fi san fil.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Pa gen okenn nesesite pou itilize HTTPS pou konekte avèk sèvis entènèt sou rezo Yggdrasil la si ou konekte ak yo atravè yon routeur rezo Yggdrasil ki fonksyone lokalman.
Vreman vre: transpò Yggdrasil se nan parèy pwotokòl pèmèt ou sèvi ak resous san danje nan rezo Yggdrasil - kapasite nan fè MITM atak konplètman eskli.
Sitiyasyon an chanje radikalman si ou jwenn aksè nan resous intranet Yggdarsil la pa dirèkteman, men atravè yon ne entèmedyè - pwen aksè rezo mwayen an, ki se operatè li yo administre.
Nan ka sa a, ki moun ki ka konpwomèt done ou transmèt yo:
Operatè pwen aksè. Li evidan ke operatè aktyèl la nan pwen aksè rezo Mwayen an ka ekout sou trafik ki pa chiffres ki pase nan ekipman li yo.
entrigan (nonm nan mitan an). Mwayen gen yon pwoblèm ki sanble ak Pwoblèm rezo Tor, sèlman an relasyon ak opinyon ak nœuds entèmedyè.
Sa a se sa li sanble
desizyon: pou jwenn aksè nan sèvis entènèt nan rezo Yggdrasil la, sèvi ak pwotokòl HTTPS (nivo 7 Modèl OSI). Pwoblèm lan se ke li pa posib bay yon sètifika sekirite otantik pou sèvis rezo Yggdrasil atravè mwayen konvansyonèl tankou Se pou yo ankripte.
Se poutèt sa, nou te etabli pwòp sant sètifikasyon nou an - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Posiblite pou konpwomèt sètifika rasin otorite sètifikasyon an te, nan kou, pran an kont - men isit la sètifika a se pi plis nesesè konfime entegrite nan transmisyon done ak elimine posiblite pou atak MITM.
Sèvis rezo mwayen ki soti nan diferan operatè yo gen sètifika sekirite diferan, yon fason oswa yon lòt ki siyen pa otorite sètifikasyon rasin lan. Sepandan, operatè Root CA yo pa kapab ekoute trafik chiffres nan sèvis yo te siyen sètifika sekirite yo (gade "Ki sa ki CSR?").
Moun ki espesyalman konsène sou sekirite yo ka itilize mwayen sa yo tankou pwoteksyon adisyonèl, tankou PGP и menm jan an.
Kounye a, enfrastrikti kle piblik rezo mwayen an gen kapasite pou tcheke estati yon sètifika lè l sèvi avèk pwotokòl la. OCSP oswa atravè itilizasyon C.R.L..
Ale nan pwen an
Itilizatè @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Etap 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Etap 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Etap 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
dosye domain.ygg.conf nan anyè a /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Etap 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Entènèt gratis nan Larisi kòmanse avèk ou
Ou ka bay tout asistans posib nan etabli yon entènèt gratis nan Larisi jodi a. Nou te konpile yon lis konplè sou fason ou ka ede rezo a:
Di zanmi w ak kòlèg ou yo sou rezo Mwayen an. Pataje referans nan atik sa a nan rezo sosyal oswa blog pèsonèl
Patisipe nan diskisyon an sou pwoblèm teknik nan rezo a Mwayen sou GitHub
Kreye sèvis entènèt ou a sou rezo Yggdrasil la epi ajoute li nan DNS rezo "Mwayen"