Մենք անընդհատ լսում ենք «ազգային անվտանգություն» արտահայտությունը, բայց երբ կառավարությունը սկսում է վերահսկել մեր հաղորդակցությունները՝ ձայնագրելով դրանք առանց արժանահավատ կասկածի, օրինական հիմքի և առանց որևէ ակնհայտ նպատակի, մենք պետք է ինքներս մեզ հարց տանք՝ նրանք իսկապե՞ս պաշտպանում են ազգային անվտանգությունը, թե՞ նրանք պաշտպանում են իրենց?
- Էդվարդ Սնոուդեն
Այս ամփոփագիրը նպատակ ունի բարձրացնելու Համայնքի հետաքրքրությունը գաղտնիության հարցում, որը, հաշվի առնելով դառնում է ավելի ակտուալ, քան երբևէ:
Օրակարգում.
Ապակենտրոնացված ինտերնետ պրովայդեր «Medium» համայնքի էնտուզիաստները ստեղծում են իրենց սեփական որոնողական համակարգը
Medium-ը ստեղծել է նոր սերտիֆիկացման մարմին՝ Medium Global Root CA: Ո՞ւմ վրա կազդեն փոփոխությունները.
Անվտանգության վկայագրեր յուրաքանչյուր տան համար. ինչպես ստեղծել ձեր սեփական ծառայությունը Yggdrasil ցանցում և դրա համար տրամադրել վավեր SSL վկայագիր
Հիշեցրու ինձ. ի՞նչ է «Միջին»-ը:
Միջին (English Միջին - «միջանկյալ», օրիգինալ կարգախոս - Մի խնդրեք ձեր գաղտնիությունը: Վերցնել այն ետ; նաև անգլերեն բառը միջին նշանակում է «միջանկյալ») - ռուսական ապակենտրոնացված ինտերնետ պրովայդեր, որը տրամադրում է ցանցային մուտքի ծառայություններ անվճար է.
Ամբողջական անվանումը՝ միջին ինտերնետ ծառայության մատակարար: Ի սկզբանե նախագիծը մտահղացվել էր այսպես в .
Ձևավորվել է 2019 թվականի ապրիլին՝ որպես անկախ հեռահաղորդակցական միջավայրի ստեղծման մաս՝ վերջնական օգտագործողներին տրամադրելով մուտք դեպի Yggdrasil ցանցային ռեսուրսներ՝ Wi-Fi անլար տվյալների փոխանցման տեխնոլոգիայի օգտագործման միջոցով:
Լրացուցիչ տեղեկություններ թեմայի վերաբերյալ.
Ապակենտրոնացված ինտերնետ պրովայդեր «Medium» համայնքի էնտուզիաստները ստեղծում են իրենց սեփական որոնողական համակարգը
Ի սկզբանե առցանց , որը ապակենտրոնացված ինտերնետային ծառայություններ մատուցող Medium-ն օգտագործում է որպես տրանսպորտ, չուներ սեփական DNS սերվեր կամ հանրային բանալին ենթակառուցվածք, սակայն, Medium ցանցային ծառայությունների համար անվտանգության վկայագրեր տրամադրելու անհրաժեշտությունը լուծեց այս երկու խնդիրները:
Ինչու՞ է ձեզ անհրաժեշտ PKI, եթե Yggdrasil-ը տուփից դուրս ապահովում է հասակակիցների միջև երթևեկությունը գաղտնագրելու հնարավորություն:Yggdrasil ցանցի վեբ ծառայություններին միանալու համար HTTPS-ի օգտագործման կարիք չկա, եթե դուք միանում եք դրանց տեղական աշխատող Yggdrasil ցանցի երթուղիչի միջոցով:
Իրոք, Yggdrasil տրանսպորտը հավասար է թույլ է տալիս ապահով կերպով օգտագործել ռեսուրսները Yggdrasil ցանցի ներսում՝ վարելու ունակություն լիովին բացառված.
Իրավիճակն արմատապես փոխվում է, եթե դուք մուտք եք գործում Yggdarsil-ի ինտրանետային ռեսուրսներ ոչ ուղղակիորեն, այլ միջանկյալ հանգույցի միջոցով՝ Միջին ցանցի մուտքի կետը, որը կառավարվում է նրա օպերատորի կողմից:
Այս դեպքում, ով կարող է վտանգի ենթարկել ձեր փոխանցած տվյալները.
- Մուտքի կետի օպերատոր. Ակնհայտ է, որ Միջին ցանցի մուտքի կետի ներկայիս օպերատորը կարող է գաղտնալսել չգաղտնագրված տրաֆիկը, որն անցնում է իր սարքավորումներով։
- ներխուժող () Միջինը նման խնդիր ունի , միայն մուտքային և միջանկյալ հանգույցների հետ կապված։
Ահա թե ինչ տեսք ունի
որոշումYggdrasil ցանցում վեբ ծառայություններ մուտք գործելու համար օգտագործեք HTTPS արձանագրությունը (մակարդակ 7 ) Խնդիրն այն է, որ հնարավոր չէ իրական անվտանգության վկայական տալ Yggdrasil ցանցային ծառայությունների համար սովորական միջոցներով, ինչպիսիք են. .
Հետևաբար, մենք հիմնեցինք մեր սեփական սերտիֆիկացման կենտրոնը. . Medium ցանցի ծառայությունների ճնշող մեծամասնությունը ստորագրված է միջանկյալ սերտիֆիկացման մարմնի՝ Medium Domain Validation Secure Server CA-ի արմատային անվտանգության վկայականով:
Անշուշտ, հաշվի է առնվել սերտիֆիկացման մարմնի արմատային վկայականը խախտելու հնարավորությունը, բայց այստեղ վկայականն ավելի անհրաժեշտ է տվյալների փոխանցման ամբողջականությունը հաստատելու և MITM հարձակումների հնարավորությունը վերացնելու համար:
Տարբեր օպերատորների միջին ցանցի ծառայություններն ունեն տարբեր անվտանգության վկայագրեր՝ այսպես թե այնպես ստորագրված արմատային սերտիֆիկացման մարմնի կողմից: Այնուամենայնիվ, Root CA օպերատորները չեն կարողանում գաղտնալսել գաղտնագրված տրաֆիկը այն ծառայություններից, որոնց համար նրանք ստորագրել են անվտանգության վկայագրեր (տես ).
Նրանք, ովքեր հատկապես մտահոգված են իրենց անվտանգությամբ, կարող են օգտագործել այնպիսի միջոցներ, ինչպիսիք են լրացուցիչ պաշտպանությունը, ինչպես, օրինակ и .
Ներկայումս Medium ցանցի հանրային բանալիների ենթակառուցվածքը հնարավորություն ունի ստուգելու վկայագրի կարգավիճակը՝ օգտագործելով արձանագրությունը: կամ օգտագործման միջոցով .
Անցեք կետին
User սկսեց մշակել որոնման համակարգ Yggdrasil ցանցում տեղակայված վեբ ծառայությունների համար: Կարևոր ասպեկտ է այն փաստը, որ ծառայությունների IPv6 հասցեների որոշումը որոնում կատարելիս իրականացվում է հարցում ուղարկելով DNS սերվերին, որը գտնվում է Medium ցանցի ներսում:
Հիմնական TLD-ն է .ygg. Դոմեյն անունների մեծ մասը ունեն այս TLD-ը, երկու բացառությամբ. .isp и .գղ.
Որոնողական համակարգը մշակման փուլում է, սակայն դրա օգտագործումն արդեն հնարավոր է այսօր՝ պարզապես այցելեք կայք .
Դուք կարող եք օգնել նախագծի զարգացմանը, .
Medium-ը ստեղծել է նոր սերտիֆիկացման մարմին՝ Medium Global Root CA: Ո՞ւմ վրա կազդեն փոփոխությունները.
Երեկ ավարտվել է Medium Root CA սերտիֆիկացման կենտրոնի ֆունկցիոնալության հանրային փորձարկումը։ Թեստավորման ավարտին շտկվել են հանրային բանալին ենթակառուցվածքի ծառայությունների շահագործման սխալները և ստեղծվել է սերտիֆիկացման մարմնի նոր արմատական վկայագիր «Medium Global Root CA»:
Հաշվի են առնվել PKI-ի բոլոր նրբությունները և առանձնահատկությունները. այժմ CA-ի նոր վկայականը «Medium Global Root CA» կթողարկվի միայն տասը տարի անց (դրա վավերականության ժամկետից հետո): Այժմ անվտանգության վկայագրերը տրվում են միայն միջանկյալ սերտիֆիկացման մարմինների կողմից, օրինակ՝ «Medium Domain Validation Secure Server CA»:
Ինչպիսի՞ն է այժմ վկայականի վստահության շղթան:
Ինչ պետք է արվի, որպեսզի ամեն ինչ աշխատի, եթե օգտատեր եք.
Քանի որ որոշ ծառայություններ օգտագործում են HSTS, նախքան Medium ցանցի ռեսուրսներն օգտագործելը, դուք պետք է ջնջեք տվյալները Medium intranet-ի ռեսուրսներից: Դուք կարող եք դա անել ձեր բրաուզերի Պատմություն ներդիրում:
Также необходимо «Medium Global Root CA» սերտիֆիկացման կենտրոն:
Ինչ պետք է արվի, որպեսզի ամեն ինչ աշխատի, եթե դուք համակարգի օպերատոր եք.
Դուք պետք է վերաթողարկեք ձեր ծառայության վկայականը էջում (Ծառայությունը հասանելի է միայն Medium ցանցում):
Անվտանգության վկայագրեր յուրաքանչյուր տան համար. ինչպես ստեղծել ձեր սեփական ծառայությունը Yggdrasil ցանցում և դրա համար տրամադրել վավեր SSL վկայագիր
Միջին ցանցում ինտրանետ ծառայությունների քանակի աճի պատճառով ավելացել է անվտանգության նոր վկայագրերի թողարկման և դրանց ծառայություններն այնպես կարգավորելու անհրաժեշտությունը, որպեսզի նրանք աջակցեն SSL-ին:
Քանի որ Habr-ը տեխնիկական ռեսուրս է, յուրաքանչյուր նոր ամփոփում օրակարգային կետերից մեկը կբացահայտի Միջին ցանցի ենթակառուցվածքի տեխնիկական առանձնահատկությունները: Օրինակ՝ ստորև ներկայացված են ձեր ծառայության համար SSL վկայական տրամադրելու համապարփակ հրահանգներ:
Օրինակները ցույց կտան դոմենի անունը domain.ygg, որը պետք է փոխարինվի ձեր ծառայության տիրույթի անունով:
Քայլ 1. Ստեղծեք անձնական բանալին և Diffie-Hellman պարամետրերը
openssl genrsa -out domain.ygg.key 2048Հետո:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Քայլ 2. Ստեղծեք վկայագրի ստորագրման հարցում
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confՖայլի բովանդակություն domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Քայլ 3. Ներկայացրեք վկայականի հարցում
Դա անելու համար պատճենեք ֆայլի բովանդակությունը domain.ygg.csr և տեղադրեք այն կայքի տեքստային դաշտում .
Հետևեք կայքում ներկայացված հրահանգներին, այնուհետև սեղմեք «Ներկայացնել»: Հաջողության դեպքում հաղորդագրություն կուղարկվի ձեր նշած էլ.փոստի հասցեին, որը պարունակում է հավելված՝ միջանկյալ սերտիֆիկացման մարմնի կողմից ստորագրված վկայագրի տեսքով:
Քայլ 4. Կարգավորեք ձեր վեբ սերվերը
Եթե դուք օգտագործում եք nginx որպես ձեր վեբ սերվեր, օգտագործեք հետևյալ կոնֆիգուրացիան.
ֆայլ domain.ygg.conf գրացուցակում /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
ֆայլ ssl-params.conf գրացուցակում /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ֆայլ domain.ygg.conf գրացուցակում /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Էլեկտրոնային փոստով ստացած վկայագիրը պետք է պատճենվի հետևյալ հասցեով՝ /etc/ssl/certs/domain.ygg.crt. Անձնական բանալի (domain.ygg.key) տեղադրել այն գրացուցակում /etc/ssl/private/.
Քայլ 5. Վերագործարկեք ձեր վեբ սերվերը
sudo service nginx restartՌուսաստանում անվճար ինտերնետը սկսվում է ձեզանից
Դուք այսօր կարող եք բոլոր հնարավոր օգնությունները տրամադրել Ռուսաստանում անվճար ինտերնետի ստեղծմանը: Մենք կազմել ենք համապարփակ ցուցակ, թե ինչպես կարող եք օգնել ցանցին.
- Տեղեկացրեք ձեր ընկերներին և գործընկերներին Medium ցանցի մասին: Կիսվել այս հոդվածին սոցիալական ցանցերում կամ անձնական բլոգում
- Մասնակցեք Medium ցանցում տեխնիկական հարցերի քննարկմանը
- Ստեղծեք ձեր վեբ ծառայությունը Yggdrasil ցանցում և ավելացրեք այն
- Բարձրացրեք ձերը դեպի միջին ցանց
Նախորդ թողարկումները.
Տես նաեւ
Մենք Telegram-ում ենք.
Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ , խնդրում եմ:
Այլընտրանքային քվեարկություն. մեզ համար կարևոր է իմանալ նրանց կարծիքը, ովքեր չունեն ամբողջական հաշիվ Habré-ում
-
↑
-
↓
Քվեարկել է 7 օգտատեր։ 2 օգտատեր ձեռնպահ է մնացել։
Source: www.habr.com