Kita selalu mendengar ungkapan “keamanan nasional”, namun ketika pemerintah mulai memantau komunikasi kita, merekamnya tanpa kecurigaan yang masuk akal, tanpa dasar hukum dan tanpa tujuan yang jelas, kita harus bertanya pada diri sendiri: apakah komunikasi tersebut benar-benar melindungi keamanan nasional atau apakah mereka melindungi diri mereka sendiri?
- Edward Snowden
Intisari ini dimaksudkan untuk meningkatkan minat Komunitas terhadap masalah privasi, yang mengingat acara terakhir menjadi lebih relevan dibandingkan sebelumnya.
Di agenda:
Penggemar dari komunitas penyedia Internet terdesentralisasi “Medium” membuat mesin pencari mereka sendiri
Medium telah membentuk otoritas sertifikasi baru, Medium Global Root CA. Siapa yang akan terkena dampak perubahan tersebut?
Sertifikat keamanan untuk setiap rumah - cara membuat layanan Anda sendiri di jaringan Yggdrasil dan menerbitkan sertifikat SSL yang valid untuknya
Ingatkan saya - apa itu “Medium”?
Medium (Bahasa Inggris Medium - "perantara", slogan asli - Jangan meminta privasi Anda. Mengambil kembali; juga dalam bahasa Inggris kata medium berarti "menengah") - penyedia Internet terdesentralisasi Rusia yang menyediakan layanan akses jaringan Yggdrasil gratis.
Dibentuk pada bulan April 2019 sebagai bagian dari penciptaan lingkungan telekomunikasi independen dengan menyediakan akses ke sumber daya jaringan Yggdrasil kepada pengguna akhir melalui penggunaan teknologi transmisi data nirkabel Wi-Fi.
Penggemar dari komunitas penyedia Internet terdesentralisasi “Medium” membuat mesin pencari mereka sendiri
Awalnya daring Yggdrasil, yang digunakan oleh penyedia layanan Internet terdesentralisasi Medium sebagai transportasi, tidak memiliki server DNS atau infrastruktur kunci publik sendiri - namun, kebutuhan untuk menerbitkan sertifikat keamanan untuk layanan jaringan Medium memecahkan dua masalah ini.
Mengapa Anda memerlukan PKI jika Yggdrasil menyediakan kemampuan untuk mengenkripsi lalu lintas antar rekan?Tidak perlu menggunakan HTTPS untuk menyambung ke layanan web di jaringan Yggdrasil jika Anda menyambungkannya melalui router jaringan Yggdrasil yang berjalan secara lokal.
Memang: Transportasi Yggdrasil setara protokol memungkinkan Anda menggunakan sumber daya dengan aman dalam jaringan Yggdrasil - kemampuan untuk melakukan serangan MITM sepenuhnya dikecualikan.
Situasi berubah secara radikal jika Anda mengakses sumber daya intranet Yggdarsil tidak secara langsung, tetapi melalui node perantara - titik akses jaringan Medium, yang dikelola oleh operatornya.
Dalam hal ini, siapa yang dapat membahayakan data yang Anda kirimkan:
Operator titik akses. Jelas bahwa operator titik akses jaringan Medium saat ini dapat menguping lalu lintas tidak terenkripsi yang melewati peralatannya.
pengacau (pria di tengah). Medium memiliki masalah serupa dengan Masalah jaringan Tor, hanya dalam kaitannya dengan node masukan dan perantara.
Seperti inilah tampilannya
keputusan: untuk mengakses layanan web dalam jaringan Yggdrasil, gunakan protokol HTTPS (level 7 model OSI). Masalahnya adalah tidak mungkin mengeluarkan sertifikat keamanan asli untuk layanan jaringan Yggdrasil melalui cara konvensional seperti Mari Enkripsi.
Oleh karena itu, kami telah mendirikan pusat sertifikasi kami sendiri - "CA Root Global Sedang". Sebagian besar layanan di jaringan Medium ditandatangani oleh sertifikat keamanan root dari otoritas sertifikasi perantara Medium Domain Validation Secure Server CA.
Tentu saja, kemungkinan meretas sertifikat root dari otoritas sertifikasi juga diperhitungkan - tetapi di sini sertifikat lebih diperlukan untuk mengonfirmasi integritas transmisi data dan menghilangkan kemungkinan serangan MITM.
Layanan jaringan menengah dari operator yang berbeda memiliki sertifikat keamanan yang berbeda, dengan satu atau lain cara ditandatangani oleh otoritas sertifikasi root. Namun, operator Root CA tidak dapat menguping lalu lintas terenkripsi dari layanan yang sertifikat keamanannya telah mereka tandatangani (lihat “Apa itu CSR?”).
Mereka yang sangat peduli dengan keselamatan mereka dapat menggunakan cara-cara seperti perlindungan tambahan PGP и serupa.
Saat ini, infrastruktur kunci publik jaringan Medium memiliki kemampuan untuk memeriksa status sertifikat menggunakan protokol OKSP atau melalui penggunaan CRL.
Langsung ke intinya
Pengguna @NXShock mulai mengembangkan mesin pencari untuk layanan web yang terletak di jaringan Yggdrasil. Aspek penting adalah kenyataan bahwa penentuan alamat layanan IPv6 saat melakukan pencarian dilakukan dengan mengirimkan permintaan ke server DNS yang terletak di dalam jaringan Medium.
TLD utamanya adalah .ygg. Kebanyakan nama domain memiliki TLD ini, dengan dua pengecualian: .isp и .gg.
Mesin pencari sedang dalam pengembangan, tetapi penggunaannya sudah dimungkinkan saat ini - cukup kunjungi situs webnya cari.medium.isp.
Medium telah membentuk otoritas sertifikasi baru, Medium Global Root CA. Siapa yang akan terkena dampak perubahan tersebut?
Kemarin, pengujian publik atas fungsionalitas pusat sertifikasi Medium Root CA telah selesai. Di akhir pengujian, kesalahan dalam pengoperasian layanan infrastruktur kunci publik diperbaiki dan sertifikat root baru dari otoritas sertifikasi “Medium Global Root CA” dibuat.
Semua nuansa dan fitur PKI telah diperhitungkan - sekarang sertifikat CA baru “Medium Global Root CA” akan diterbitkan hanya sepuluh tahun kemudian (setelah tanggal kedaluwarsa). Sekarang sertifikat keamanan hanya dikeluarkan oleh otoritas sertifikasi perantara - misalnya, “Medium Domain Validation Secure Server CA”.
Seperti apa rantai kepercayaan sertifikat sekarang?
Apa yang perlu dilakukan agar semuanya berfungsi jika Anda adalah pengguna:
Karena beberapa layanan menggunakan HSTS, sebelum menggunakan sumber daya jaringan Medium, Anda harus menghapus data dari sumber daya intranet Medium. Anda dapat melakukan ini di tab Riwayat browser Anda.
Apa yang perlu dilakukan agar semuanya berfungsi jika Anda seorang operator sistem:
Anda perlu menerbitkan ulang sertifikat untuk layanan Anda di halaman tersebut pki.medium.isp (layanan ini hanya tersedia di jaringan Medium).
Sertifikat keamanan untuk setiap rumah - cara membuat layanan Anda sendiri di jaringan Yggdrasil dan menerbitkan sertifikat SSL yang valid untuknya
Karena pertumbuhan jumlah layanan intranet di jaringan Medium, kebutuhan untuk menerbitkan sertifikat keamanan baru dan mengkonfigurasi layanannya agar mendukung SSL semakin meningkat.
Karena Habr adalah sumber daya teknis, dalam setiap intisari baru, salah satu agenda akan mengungkapkan fitur teknis infrastruktur jaringan Medium. Misalnya, di bawah ini adalah petunjuk lengkap untuk menerbitkan sertifikat SSL untuk layanan Anda.
Contohnya akan menunjukkan nama domain domain.ygg, yang harus diganti dengan nama domain layanan Anda.
Langkah 1. Hasilkan kunci pribadi dan parameter Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Langkah 3. Kirimkan permintaan sertifikat
Untuk melakukan ini, salin isi file domain.ygg.csr dan tempelkan ke kolom teks di situs pki.medium.isp.
Ikuti instruksi yang tersedia di website, lalu klik "Kirim". Jika berhasil, pesan akan terkirim ke alamat email yang Anda tentukan berisi lampiran berupa sertifikat yang ditandatangani oleh otoritas sertifikasi perantara.
Langkah 4. Siapkan server web Anda
Jika Anda menggunakan nginx sebagai server web, gunakan konfigurasi berikut:
berkas domain.ygg.conf di direktori /etc/nginx/situs-tersedia/
Sertifikat yang Anda terima melalui email harus disalin ke: /etc/ssl/certs/domain.ygg.crt. Kunci pribadi (domain.ygg.key) letakkan di direktori /etc/ssl/pribadi/.
Langkah 5. Mulai ulang server web Anda
sudo service nginx restart
Internet gratis di Rusia dimulai dari Anda
Anda dapat memberikan semua bantuan yang mungkin untuk pembentukan Internet gratis di Rusia saat ini. Kami telah menyusun daftar lengkap tentang bagaimana Anda dapat membantu jaringan:
Beritahu teman dan kolega Anda tentang jaringan Medium. Membagikan dengan referensi ke artikel ini di jejaring sosial atau blog pribadi
Ikut serta dalam diskusi masalah teknis di jaringan Medium di GitHub
Buat layanan web Anda di jaringan Yggdrasil dan tambahkan ke DNS jaringan Medium