Kita selalu mendengar ungkapan “keamanan nasional”, namun ketika pemerintah mulai memantau komunikasi kita, merekamnya tanpa kecurigaan yang masuk akal, tanpa dasar hukum dan tanpa tujuan yang jelas, kita harus bertanya pada diri sendiri: apakah komunikasi tersebut benar-benar melindungi keamanan nasional atau apakah mereka melindungi diri mereka sendiri?
- Edward Snowden
Intisari ini dimaksudkan untuk meningkatkan minat Komunitas terhadap masalah privasi, yang mengingat menjadi lebih relevan dibandingkan sebelumnya.
Di agenda:
Penggemar dari komunitas penyedia Internet terdesentralisasi “Medium” membuat mesin pencari mereka sendiri
Medium telah membentuk otoritas sertifikasi baru, Medium Global Root CA. Siapa yang akan terkena dampak perubahan tersebut?
Sertifikat keamanan untuk setiap rumah - cara membuat layanan Anda sendiri di jaringan Yggdrasil dan menerbitkan sertifikat SSL yang valid untuknya
Ingatkan saya - apa itu “Medium”?
Medium (Bahasa Inggris Medium - "perantara", slogan asli - Jangan meminta privasi Anda. Mengambil kembali; juga dalam bahasa Inggris kata medium berarti "menengah") - penyedia Internet terdesentralisasi Rusia yang menyediakan layanan akses jaringan gratis.
Nama lengkap: Penyedia Layanan Internet Menengah. Awalnya proyek ini disusun sebagai в .
Dibentuk pada bulan April 2019 sebagai bagian dari penciptaan lingkungan telekomunikasi independen dengan menyediakan akses ke sumber daya jaringan Yggdrasil kepada pengguna akhir melalui penggunaan teknologi transmisi data nirkabel Wi-Fi.
Informasi lebih lanjut tentang topik:
Penggemar dari komunitas penyedia Internet terdesentralisasi “Medium” membuat mesin pencari mereka sendiri
Awalnya daring , yang digunakan oleh penyedia layanan Internet terdesentralisasi Medium sebagai transportasi, tidak memiliki server DNS atau infrastruktur kunci publik sendiri - namun, kebutuhan untuk menerbitkan sertifikat keamanan untuk layanan jaringan Medium memecahkan dua masalah ini.
Mengapa Anda memerlukan PKI jika Yggdrasil menyediakan kemampuan untuk mengenkripsi lalu lintas antar rekan?Tidak perlu menggunakan HTTPS untuk menyambung ke layanan web di jaringan Yggdrasil jika Anda menyambungkannya melalui router jaringan Yggdrasil yang berjalan secara lokal.
Memang: Transportasi Yggdrasil setara memungkinkan Anda menggunakan sumber daya dengan aman dalam jaringan Yggdrasil - kemampuan untuk melakukan sepenuhnya dikecualikan.
Situasi berubah secara radikal jika Anda mengakses sumber daya intranet Yggdarsil tidak secara langsung, tetapi melalui node perantara - titik akses jaringan Medium, yang dikelola oleh operatornya.
Dalam hal ini, siapa yang dapat membahayakan data yang Anda kirimkan:
- Operator titik akses. Jelas bahwa operator titik akses jaringan Medium saat ini dapat menguping lalu lintas tidak terenkripsi yang melewati peralatannya.
- pengacau (). Medium memiliki masalah serupa dengan , hanya dalam kaitannya dengan node masukan dan perantara.
Seperti inilah tampilannya
keputusan: untuk mengakses layanan web dalam jaringan Yggdrasil, gunakan protokol HTTPS (level 7 ). Masalahnya adalah tidak mungkin mengeluarkan sertifikat keamanan asli untuk layanan jaringan Yggdrasil melalui cara konvensional seperti .
Oleh karena itu, kami telah mendirikan pusat sertifikasi kami sendiri - . Sebagian besar layanan di jaringan Medium ditandatangani oleh sertifikat keamanan root dari otoritas sertifikasi perantara Medium Domain Validation Secure Server CA.
Tentu saja, kemungkinan meretas sertifikat root dari otoritas sertifikasi juga diperhitungkan - tetapi di sini sertifikat lebih diperlukan untuk mengonfirmasi integritas transmisi data dan menghilangkan kemungkinan serangan MITM.
Layanan jaringan menengah dari operator yang berbeda memiliki sertifikat keamanan yang berbeda, dengan satu atau lain cara ditandatangani oleh otoritas sertifikasi root. Namun, operator Root CA tidak dapat menguping lalu lintas terenkripsi dari layanan yang sertifikat keamanannya telah mereka tandatangani (lihat ).
Mereka yang sangat peduli dengan keselamatan mereka dapat menggunakan cara-cara seperti perlindungan tambahan и .
Saat ini, infrastruktur kunci publik jaringan Medium memiliki kemampuan untuk memeriksa status sertifikat menggunakan protokol atau melalui penggunaan .
Langsung ke intinya
Pengguna mulai mengembangkan mesin pencari untuk layanan web yang terletak di jaringan Yggdrasil. Aspek penting adalah kenyataan bahwa penentuan alamat layanan IPv6 saat melakukan pencarian dilakukan dengan mengirimkan permintaan ke server DNS yang terletak di dalam jaringan Medium.
TLD utamanya adalah .ygg. Kebanyakan nama domain memiliki TLD ini, dengan dua pengecualian: .isp и .gg.
Mesin pencari sedang dalam pengembangan, tetapi penggunaannya sudah dimungkinkan saat ini - cukup kunjungi situs webnya .
Anda dapat membantu pengembangan proyek, .
Medium telah membentuk otoritas sertifikasi baru, Medium Global Root CA. Siapa yang akan terkena dampak perubahan tersebut?
Kemarin, pengujian publik atas fungsionalitas pusat sertifikasi Medium Root CA telah selesai. Di akhir pengujian, kesalahan dalam pengoperasian layanan infrastruktur kunci publik diperbaiki dan sertifikat root baru dari otoritas sertifikasi “Medium Global Root CA” dibuat.
Semua nuansa dan fitur PKI telah diperhitungkan - sekarang sertifikat CA baru “Medium Global Root CA” akan diterbitkan hanya sepuluh tahun kemudian (setelah tanggal kedaluwarsa). Sekarang sertifikat keamanan hanya dikeluarkan oleh otoritas sertifikasi perantara - misalnya, “Medium Domain Validation Secure Server CA”.
Seperti apa rantai kepercayaan sertifikat sekarang?
Apa yang perlu dilakukan agar semuanya berfungsi jika Anda adalah pengguna:
Karena beberapa layanan menggunakan HSTS, sebelum menggunakan sumber daya jaringan Medium, Anda harus menghapus data dari sumber daya intranet Medium. Anda dapat melakukan ini di tab Riwayat browser Anda.
Itu juga perlu pusat sertifikasi "Medium Global Root CA".
Apa yang perlu dilakukan agar semuanya berfungsi jika Anda seorang operator sistem:
Anda perlu menerbitkan ulang sertifikat untuk layanan Anda di halaman tersebut (layanan ini hanya tersedia di jaringan Medium).
Sertifikat keamanan untuk setiap rumah - cara membuat layanan Anda sendiri di jaringan Yggdrasil dan menerbitkan sertifikat SSL yang valid untuknya
Karena pertumbuhan jumlah layanan intranet di jaringan Medium, kebutuhan untuk menerbitkan sertifikat keamanan baru dan mengkonfigurasi layanannya agar mendukung SSL semakin meningkat.
Karena Habr adalah sumber daya teknis, dalam setiap intisari baru, salah satu agenda akan mengungkapkan fitur teknis infrastruktur jaringan Medium. Misalnya, di bawah ini adalah petunjuk lengkap untuk menerbitkan sertifikat SSL untuk layanan Anda.
Contohnya akan menunjukkan nama domain domain.ygg, yang harus diganti dengan nama domain layanan Anda.
Langkah 1. Hasilkan kunci pribadi dan parameter Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Kemudian:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Langkah 2. Buat permintaan penandatanganan sertifikat
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confIsi berkas domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Langkah 3. Kirimkan permintaan sertifikat
Untuk melakukan ini, salin isi file domain.ygg.csr dan tempelkan ke kolom teks di situs .
Ikuti instruksi yang tersedia di website, lalu klik "Kirim". Jika berhasil, pesan akan terkirim ke alamat email yang Anda tentukan berisi lampiran berupa sertifikat yang ditandatangani oleh otoritas sertifikasi perantara.
Langkah 4. Siapkan server web Anda
Jika Anda menggunakan nginx sebagai server web, gunakan konfigurasi berikut:
berkas domain.ygg.conf di direktori /etc/nginx/situs-tersedia/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
berkas ssl-params.conf di direktori /etc/nginx/cuplikan/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
berkas domain.ygg.conf di direktori /etc/nginx/cuplikan/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Sertifikat yang Anda terima melalui email harus disalin ke: /etc/ssl/certs/domain.ygg.crt. Kunci pribadi (domain.ygg.key) letakkan di direktori /etc/ssl/pribadi/.
Langkah 5. Mulai ulang server web Anda
sudo service nginx restartInternet gratis di Rusia dimulai dari Anda
Anda dapat memberikan semua bantuan yang mungkin untuk pembentukan Internet gratis di Rusia saat ini. Kami telah menyusun daftar lengkap tentang bagaimana Anda dapat membantu jaringan:
- Beritahu teman dan kolega Anda tentang jaringan Medium. Membagikan ke artikel ini di jejaring sosial atau blog pribadi
- Ikut serta dalam diskusi masalah teknis di jaringan Medium
- Buat layanan web Anda di jaringan Yggdrasil dan tambahkan ke
- Angkat milikmu ke jaringan Medium
Rilis sebelumnya:
Lihat juga:
Kami ada di Telegram:
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Pemungutan suara alternatif: penting bagi kita untuk mengetahui pendapat mereka yang tidak mengetahui secara lengkap tentang Habré
-
↑
-
↓
7 pengguna memilih. 2 pengguna abstain.
Sumber: www.habr.com