Folyamatosan halljuk a „nemzetbiztonság” kifejezést, de amikor a kormány elkezdi figyelemmel kísérni a kommunikációnkat, hiteles gyanú, jogalap és látszólagos cél nélkül rögzíteni, fel kell tennünk magunknak a kérdést: vajon valóban a nemzetbiztonságot védik-e, ill. védik a sajátjukat?
- Edward Snowden
Ennek az összefoglalónak az a célja, hogy növelje a Közösség érdeklődését a magánélet védelmével kapcsolatban, amely a következők fényében közelmúltbeli események aktuálisabbá válik, mint valaha.
Napirenden:
A „Medium” decentralizált internetszolgáltató közösségének rajongói saját keresőmotort készítenek
A Medium új tanúsító hatóságot hozott létre, a Medium Global Root CA néven. Kit érintenek a változások?
Biztonsági tanúsítványok minden otthonhoz - hogyan hozhat létre saját szolgáltatást az Yggdrasil hálózaton és állíthat ki érvényes SSL tanúsítványt hozzá
Emlékeztessen – mi az a „közepes”?
közepes (Magyar közepes — „közvetítő”, eredeti szlogen — Ne kérje a magánéletét. Visszavonom; angol szóban is közepes jelentése "köztes") - egy orosz decentralizált internetszolgáltató, amely hálózati hozzáférési szolgáltatásokat nyújt Yggdrasil díjmentes.
2019 áprilisában alakult egy független távközlési környezet létrehozásának részeként, amely a végfelhasználók számára hozzáférést biztosít az Yggdrasil hálózati erőforrásokhoz a Wi-Fi vezeték nélküli adatátviteli technológia használatával.
A „Medium” decentralizált internetszolgáltató közösségének rajongói saját keresőmotort készítenek
Eredetileg online Yggdrasil, amelyet a Medium decentralizált internetszolgáltató átvitelként használ, nem rendelkezett saját DNS-kiszolgálóval vagy nyilvános kulcsú infrastruktúrával - a Medium hálózati szolgáltatásokhoz szükséges biztonsági tanúsítványok kiadása azonban ezt a két problémát megoldotta.
Miért van szüksége PKI-re, ha az Yggdrasil már a dobozból is lehetővé teszi a forgalom titkosítását a társak között?Nincs szükség HTTPS-re az Yggdrasil hálózat webszolgáltatásaihoz való csatlakozáshoz, ha egy helyileg futó Yggdrasil hálózati útválasztón keresztül csatlakozik hozzájuk.
Valóban: az Yggdrasil szállítása egyenrangú jegyzőkönyv lehetővé teszi az erőforrások biztonságos használatát az Yggdrasil hálózaton belül - a lebonyolítási képesség MITM támadások teljesen kizárva.
A helyzet gyökeresen megváltozik, ha az Yggdarsil intranet erőforrásait nem közvetlenül, hanem egy közbenső csomóponton keresztül éri el - a Medium hálózati hozzáférési ponton, amelyet az üzemeltetője adminisztrál.
Ebben az esetben ki veszélyeztetheti az Ön által továbbított adatokat:
Hozzáférési pont kezelője. Nyilvánvaló, hogy a Medium hálózati hozzáférési pont jelenlegi üzemeltetője le tudja hallgatni a berendezésén áthaladó titkosítatlan forgalmat.
betolakodó (férfi a közepén). A közepesnek hasonló problémája van Tor hálózati probléma, csak a bemeneti és a közbenső csomópontok vonatkozásában.
Így néz ki
döntés: az Yggdrasil hálózaton belüli webszolgáltatások eléréséhez használja a HTTPS protokollt (7. szint OSI modellek). A probléma az, hogy nem lehet eredeti biztonsági tanúsítványt kiállítani az Yggdrasil hálózati szolgáltatásokhoz hagyományos eszközökkel, mint pl. Titkosítjuk.
Ezért létrehoztuk saját tanúsító központunkat - "Közepes globális gyökér CA". A közepes hálózati szolgáltatások túlnyomó többségét a „Medium Domain Validation Secure Server CA” köztes hitelesítésszolgáltató gyökér biztonsági tanúsítványa írja alá.
A hitelesítés-szolgáltató gyökértanúsítványának veszélyeztetésének lehetőségét természetesen figyelembe vették - itt azonban inkább az adatátvitel sértetlenségének megerősítése és az MITM támadások lehetőségének kiküszöbölése érdekében van szükség a tanúsítványra.
A különböző szolgáltatók közepes hálózati szolgáltatásai különböző biztonsági tanúsítvánnyal rendelkeznek, így vagy úgy, a gyökér hitelesítési hatóság által aláírva. A root CA üzemeltetők azonban nem tudják lehallgatni a titkosított forgalmat olyan szolgáltatásokból, amelyekhez biztonsági tanúsítványt írtak alá (lásd "Mi az a CSR?").
Azok, akik különösen aggódnak a biztonságuk miatt, olyan eszközöket használhatnak, mint a kiegészítő védelem, mint pl PGP и hasonló.
Jelenleg a Medium hálózat nyilvános kulcsú infrastruktúrája képes a tanúsítvány állapotának ellenőrzésére a protokoll segítségével OCSP vagy használat révén C.R.L..
Térjen a tárgyra
Használó @NXShock elkezdett egy keresőt fejleszteni az Yggdrasil hálózaton található webszolgáltatásokhoz. Fontos szempont, hogy a szolgáltatások IPv6-címének meghatározása kereséskor a Medium hálózaton belül található DNS-kiszolgálóhoz küldött kéréssel történik.
A fő TLD az .ygg. A legtöbb domain név rendelkezik ezzel a TLD-vel, két kivétellel: .isp и .gg.
A kereső fejlesztés alatt áll, de használata már ma is lehetséges – csak látogassa meg a weboldalt search.medium.isp.
A Medium új tanúsító hatóságot hozott létre, a Medium Global Root CA néven. Kit érintenek a változások?
Tegnap lezárult a Medium Root CA tanúsító központ működőképességének nyilvános tesztelése. A tesztelés végén kijavították a nyilvános kulcsú infrastruktúra-szolgáltatások működési hibáit, és létrehozták a hitelesítésszolgáltató „Medium Global Root CA” új gyökértanúsítványát.
A PKI minden árnyalatát és jellemzőjét figyelembe vették - most az új „Medium Global Root CA” CA-tanúsítványt csak tíz évvel később adják ki (lejárati dátuma után). A biztonsági tanúsítványokat most csak köztes hitelesítési hatóságok adják ki – például a „Közepes tartományi érvényesítésű Secure Server CA”.
Hogyan néz ki most a tanúsítvány megbízhatósági lánca?
Mit kell tenni, hogy minden működjön, ha Ön felhasználó:
Mivel egyes szolgáltatások HSTS-t használnak, a közepes hálózati erőforrások használata előtt törölnie kell az adatokat a közepes intranetes erőforrásokból. Ezt a böngésző Előzmények lapján teheti meg.
Mit kell tenni, hogy minden működjön, ha Ön rendszerüzemeltető:
Újra ki kell adnia a szolgáltatás tanúsítványát az oldalon pki.medium.isp (a szolgáltatás csak a Medium hálózaton érhető el).
Biztonsági tanúsítványok minden otthonhoz - hogyan hozhat létre saját szolgáltatást az Yggdrasil hálózaton és állíthat ki érvényes SSL tanúsítványt hozzá
A Medium hálózaton belüli intranet szolgáltatások számának növekedése miatt megnövekedett az igény új biztonsági tanúsítványok kiadására és szolgáltatásaik SSL-t támogató konfigurálására.
Mivel a Habr egy technikai erőforrás, minden új kivonatban az egyik napirendi pont felfedi a Medium hálózati infrastruktúra műszaki jellemzőit. Az alábbiakban például átfogó utasításokat talál a szolgáltatás SSL-tanúsítványának kiadásához.
A példák a domain nevet jelzik domain.ygg, amelyet a szolgáltatás domainnevére kell cserélni.
Lépés 1. Privát kulcs és Diffie-Hellman paraméterek generálása
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Lépés 3. Tanúsítvány kérelme benyújtása
Ehhez másolja át a fájl tartalmát domain.ygg.csr és illessze be a webhely szövegmezőjébe pki.medium.isp.
Kövesse a webhelyen található utasításokat, majd kattintson a "Küldés" gombra. Sikeres esetben egy üzenetet küldünk a megadott e-mail címre, amely csatolmányt tartalmaz egy köztes hitelesítés-szolgáltató által aláírt tanúsítvány formájában.
Lépés 4. Állítsa be a webszervert
Ha az nginxet használja webszerverként, használja a következő konfigurációt:
fájl domain.ygg.conf a címtárban /etc/nginx/sites-available/
Az e-mailben kapott tanúsítványt a következő címre kell másolni: /etc/ssl/certs/domain.ygg.crt. privát kulcs (domain.ygg.key) helyezze el egy könyvtárba /etc/ssl/private/.
Lépés 5. Indítsa újra a webszervert
sudo service nginx restart
Az ingyenes internet Oroszországban veled kezdődik
Ma minden segítséget megadhat egy ingyenes internet létrehozásához Oroszországban. Összeállítottunk egy átfogó listát arról, hogyan segítheti a hálózatot:
Mondja el barátainak és kollégáinak a Medium hálózatot. Ossza meg referenciaként ehhez a cikkhez a közösségi hálózatokon vagy a személyes blogon
Vegyen részt a Medium hálózat műszaki kérdéseinek megvitatásában a GitHubon
Hozza létre webszolgáltatását az Yggdrasil hálózaton, és adja hozzá DNS hálózat "közepes"