Folyamatosan halljuk a „nemzetbiztonság” kifejezést, de amikor a kormány elkezdi figyelemmel kísérni a kommunikációnkat, hiteles gyanú, jogalap és látszólagos cél nélkül rögzíteni, fel kell tennünk magunknak a kérdést: vajon valóban a nemzetbiztonságot védik-e, ill. védik a sajátjukat?
- Edward Snowden
Ennek az összefoglalónak az a célja, hogy növelje a Közösség érdeklődését a magánélet védelmével kapcsolatban, amely a következők fényében aktuálisabbá válik, mint valaha.
Napirenden:
A „Medium” decentralizált internetszolgáltató közösségének rajongói saját keresőmotort készítenek
A Medium új tanúsító hatóságot hozott létre, a Medium Global Root CA néven. Kit érintenek a változások?
Biztonsági tanúsítványok minden otthonhoz - hogyan hozhat létre saját szolgáltatást az Yggdrasil hálózaton és állíthat ki érvényes SSL tanúsítványt hozzá
Emlékeztessen – mi az a „közepes”?
közepes (Magyar közepes — „közvetítő”, eredeti szlogen — Ne kérje a magánéletét. Visszavonom; angol szóban is közepes jelentése "köztes") - egy orosz decentralizált internetszolgáltató, amely hálózati hozzáférési szolgáltatásokat nyújt díjmentes.
A teljes neve Medium Internet Service Provider. A projekt eredetileg a в .
2019 áprilisában alakult egy független távközlési környezet létrehozásának részeként, amely a végfelhasználók számára hozzáférést biztosít az Yggdrasil hálózati erőforrásokhoz a Wi-Fi vezeték nélküli adatátviteli technológia használatával.
További információ a témában:
A „Medium” decentralizált internetszolgáltató közösségének rajongói saját keresőmotort készítenek
Eredetileg online , amelyet a Medium decentralizált internetszolgáltató átvitelként használ, nem rendelkezett saját DNS-kiszolgálóval vagy nyilvános kulcsú infrastruktúrával - a Medium hálózati szolgáltatásokhoz szükséges biztonsági tanúsítványok kiadása azonban ezt a két problémát megoldotta.
Miért van szüksége PKI-re, ha az Yggdrasil már a dobozból is lehetővé teszi a forgalom titkosítását a társak között?Nincs szükség HTTPS-re az Yggdrasil hálózat webszolgáltatásaihoz való csatlakozáshoz, ha egy helyileg futó Yggdrasil hálózati útválasztón keresztül csatlakozik hozzájuk.
Valóban: az Yggdrasil szállítása egyenrangú lehetővé teszi az erőforrások biztonságos használatát az Yggdrasil hálózaton belül - a lebonyolítási képesség teljesen kizárva.
A helyzet gyökeresen megváltozik, ha az Yggdarsil intranet erőforrásait nem közvetlenül, hanem egy közbenső csomóponton keresztül éri el - a Medium hálózati hozzáférési ponton, amelyet az üzemeltetője adminisztrál.
Ebben az esetben ki veszélyeztetheti az Ön által továbbított adatokat:
- Hozzáférési pont kezelője. Nyilvánvaló, hogy a Medium hálózati hozzáférési pont jelenlegi üzemeltetője le tudja hallgatni a berendezésén áthaladó titkosítatlan forgalmat.
- betolakodó (). A közepesnek hasonló problémája van , csak a bemeneti és a közbenső csomópontok vonatkozásában.
Így néz ki
döntés: az Yggdrasil hálózaton belüli webszolgáltatások eléréséhez használja a HTTPS protokollt (7. szint ). A probléma az, hogy nem lehet eredeti biztonsági tanúsítványt kiállítani az Yggdrasil hálózati szolgáltatásokhoz hagyományos eszközökkel, mint pl. .
Ezért létrehoztuk saját tanúsító központunkat - . A közepes hálózati szolgáltatások túlnyomó többségét a „Medium Domain Validation Secure Server CA” köztes hitelesítésszolgáltató gyökér biztonsági tanúsítványa írja alá.
A hitelesítés-szolgáltató gyökértanúsítványának veszélyeztetésének lehetőségét természetesen figyelembe vették - itt azonban inkább az adatátvitel sértetlenségének megerősítése és az MITM támadások lehetőségének kiküszöbölése érdekében van szükség a tanúsítványra.
A különböző szolgáltatók közepes hálózati szolgáltatásai különböző biztonsági tanúsítvánnyal rendelkeznek, így vagy úgy, a gyökér hitelesítési hatóság által aláírva. A root CA üzemeltetők azonban nem tudják lehallgatni a titkosított forgalmat olyan szolgáltatásokból, amelyekhez biztonsági tanúsítványt írtak alá (lásd ).
Azok, akik különösen aggódnak a biztonságuk miatt, olyan eszközöket használhatnak, mint a kiegészítő védelem, mint pl и .
Jelenleg a Medium hálózat nyilvános kulcsú infrastruktúrája képes a tanúsítvány állapotának ellenőrzésére a protokoll segítségével vagy használat révén .
Térjen a tárgyra
Használó elkezdett egy keresőt fejleszteni az Yggdrasil hálózaton található webszolgáltatásokhoz. Fontos szempont, hogy a szolgáltatások IPv6-címének meghatározása kereséskor a Medium hálózaton belül található DNS-kiszolgálóhoz küldött kéréssel történik.
A fő TLD az .ygg. A legtöbb domain név rendelkezik ezzel a TLD-vel, két kivétellel: .isp и .gg.
A kereső fejlesztés alatt áll, de használata már ma is lehetséges – csak látogassa meg a weboldalt .
Segítheti a projekt fejlesztését, .
A Medium új tanúsító hatóságot hozott létre, a Medium Global Root CA néven. Kit érintenek a változások?
Tegnap lezárult a Medium Root CA tanúsító központ működőképességének nyilvános tesztelése. A tesztelés végén kijavították a nyilvános kulcsú infrastruktúra-szolgáltatások működési hibáit, és létrehozták a hitelesítésszolgáltató „Medium Global Root CA” új gyökértanúsítványát.
A PKI minden árnyalatát és jellemzőjét figyelembe vették - most az új „Medium Global Root CA” CA-tanúsítványt csak tíz évvel később adják ki (lejárati dátuma után). A biztonsági tanúsítványokat most csak köztes hitelesítési hatóságok adják ki – például a „Közepes tartományi érvényesítésű Secure Server CA”.
Hogyan néz ki most a tanúsítvány megbízhatósági lánca?
Mit kell tenni, hogy minden működjön, ha Ön felhasználó:
Mivel egyes szolgáltatások HSTS-t használnak, a közepes hálózati erőforrások használata előtt törölnie kell az adatokat a közepes intranetes erőforrásokból. Ezt a böngésző Előzmények lapján teheti meg.
Az is szükséges "Medium Global Root CA" tanúsító központ.
Mit kell tenni, hogy minden működjön, ha Ön rendszerüzemeltető:
Újra ki kell adnia a szolgáltatás tanúsítványát az oldalon (a szolgáltatás csak a Medium hálózaton érhető el).
Biztonsági tanúsítványok minden otthonhoz - hogyan hozhat létre saját szolgáltatást az Yggdrasil hálózaton és állíthat ki érvényes SSL tanúsítványt hozzá
A Medium hálózaton belüli intranet szolgáltatások számának növekedése miatt megnövekedett az igény új biztonsági tanúsítványok kiadására és szolgáltatásaik SSL-t támogató konfigurálására.
Mivel a Habr egy technikai erőforrás, minden új kivonatban az egyik napirendi pont felfedi a Medium hálózati infrastruktúra műszaki jellemzőit. Az alábbiakban például átfogó utasításokat talál a szolgáltatás SSL-tanúsítványának kiadásához.
A példák a domain nevet jelzik domain.ygg, amelyet a szolgáltatás domainnevére kell cserélni.
Lépés 1. Privát kulcs és Diffie-Hellman paraméterek generálása
openssl genrsa -out domain.ygg.key 2048akkor:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Lépés 2. Hozzon létre egy tanúsítvány-aláírási kérelmet
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFájl tartalma domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Lépés 3. Tanúsítvány kérelme benyújtása
Ehhez másolja át a fájl tartalmát domain.ygg.csr és illessze be a webhely szövegmezőjébe .
Kövesse a webhelyen található utasításokat, majd kattintson a "Küldés" gombra. Sikeres esetben egy üzenetet küldünk a megadott e-mail címre, amely csatolmányt tartalmaz egy köztes hitelesítés-szolgáltató által aláírt tanúsítvány formájában.
Lépés 4. Állítsa be a webszervert
Ha az nginxet használja webszerverként, használja a következő konfigurációt:
fájl domain.ygg.conf a címtárban /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fájl ssl-params.conf a címtárban /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fájl domain.ygg.conf a címtárban /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Az e-mailben kapott tanúsítványt a következő címre kell másolni: /etc/ssl/certs/domain.ygg.crt. privát kulcs (domain.ygg.key) helyezze el egy könyvtárba /etc/ssl/private/.
Lépés 5. Indítsa újra a webszervert
sudo service nginx restartAz ingyenes internet Oroszországban veled kezdődik
Ma minden segítséget megadhat egy ingyenes internet létrehozásához Oroszországban. Összeállítottunk egy átfogó listát arról, hogyan segítheti a hálózatot:
- Mondja el barátainak és kollégáinak a Medium hálózatot. Ossza meg ehhez a cikkhez a közösségi hálózatokon vagy a személyes blogon
- Vegyen részt a Medium hálózat műszaki kérdéseinek megvitatásában
- Hozza létre webszolgáltatását az Yggdrasil hálózaton, és adja hozzá
- Emeld fel a a Medium hálózathoz
Korábbi kiadások:
Lásd még:
Мы в távirat:
A felmérésben csak regisztrált felhasználók vehetnek részt. , kérem.
Alternatív szavazás: fontos, hogy ismerjük a Habréval kapcsolatos teljes számlával nem rendelkezők véleményét
-
↑
-
↓
7 felhasználó szavazott. 2 felhasználó tartózkodott.
Forrás: will.com