Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Ebum n'obi mgbari a iji mee ka ndị obodo nwee mmasị na okwu nke nzuzo, nke, n'ihi ya na-adị mkpa karịa mgbe ọ bụla ọzọ.
Na agenda:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Chetara m - gịnị bụ "Ọkara"?
ọkara (eng. ọkara - "n'etiti", okwu mbụ - Ajụla maka nzuzo gị. Were ya laghachi azụ; nakwa na bekee okwu ajụ pụtara "n'etiti") - onye na-eweta ịntanetị na-agbasasị Russia na-enye ọrụ ịnweta netwọkụ n'efu.
Aha zuru oke: Onye na-eweta ọrụ ịntanetị ọkara. Na mbụ, a tụrụ ime ọrụ ahụ dị ka в .
Emebere ya na Eprel 2019 dị ka akụkụ nke okike nke mpaghara nkwukọrịta kwụụrụ onwe ya site n'inye ndị ọrụ njedebe ohere ịnweta akụrụngwa netwọkụ Yggdrasil site na iji teknụzụ mgbasa ozi ikuku Wi-Fi.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Ọ dịghị mkpa iji HTTPS jikọọ na ọrụ weebụ na netwọk Yggdrasil ma ọ bụrụ na ị jikọọ na ha site na netwọk Yggdrasil na-agba ọsọ na mpaghara.
N'ezie: Ụgbọ njem Yggdrasil dị na nha na-enye gị ohere iji akụrụngwa dị na netwọkụ Yggdrasil n'enweghị nsogbu - ikike ịme ihe ewepu kpamkpam.
Ọnọdụ ahụ na-agbanwe nke ukwuu ma ọ bụrụ na ịnweta akụrụngwa intranet Yggdarsil ọ bụghị ozugbo, kama site na ọnụ ụzọ etiti - ebe ịnweta netwọkụ Ọkara, nke onye ọrụ ya na-elekọta.
N'okwu a, onye nwere ike imebi data ị na-ebufe:
- Onye ọrụ ebe ohere. O doro anya na onye na-arụ ọrụ ugbu a nke ebe ịnweta netwọkụ Ọkara nwere ike ịdebe okporo ụzọ ezoro ezo na-agafe na ngwa ya.
- onye nbata (). Ọkara nwere nsogbu yiri ya , naanị n'ihe gbasara ntinye na ọnụ ọnụ etiti.
Nke a bụ otú ọ dị
mkpebi: iji nweta ọrụ webụ n'ime netwọk Yggdrasil, jiri HTTPS protocol (ọkwa 7 ). Nsogbu a bụ na ọ gaghị ekwe omume ịnye ezigbo akwụkwọ nchekwa maka ọrụ netwọk Yggdrasil site n'ụzọ a na-ahụkarị dịka. .
Ya mere, anyị hiwere ụlọ ọrụ asambodo - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Ohere nke imebi akwụkwọ mgbọrọgwụ nke ikike asambodo bụ, n'ezie, eburu n'uche - ma ebe a ka akwụkwọ ahụ dị mkpa iji kwado iguzosi ike n'ezi ihe nke nnyefe data ma wepụ ohere nke mwakpo MITM.
Ọrụ netwọkụ etiti sitere na ndị na-ahụ maka ọrụ dị iche iche nwere asambodo nchekwa dị iche iche, otu ụzọ ma ọ bụ ọzọ nke ikike asambodo mgbọrọgwụ bịanyere aka na ya. Agbanyeghị, ndị na-ahụ maka Root CA enweghị ike ịchebe okporo ụzọ ezoro ezo site na ọrụ ha bịanyere aka na asambodo nchekwa (lee. ).
Ndị na-enwe nchegbu karịsịa maka nchekwa ha nwere ike iji ụzọ dị ka nchebe ọzọ, dị ka и .
Ugbu a, akụrụngwa igodo ọha nke netwọkụ Ọkara nwere ikike ịlele ọkwa nke asambodo site na iji protocol ma ọ bụ site na iji .
Gaa n'isi okwu
Onye ọrụ начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Ọ dịkwa mkpa удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Kwụpụ 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Mgbe ahụ:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Kwụpụ 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFaịlụ ọdịnaya domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Kwụpụ 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Kwụpụ 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
file domain.ygg.conf na ndekọ /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
file ssl-params.conf na ndekọ /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
file domain.ygg.conf na ndekọ /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Kwụpụ 5. Перезапустите ваш веб-сервер
sudo service nginx restartỊntanetị efu na Russia na-amalite na gị
Ị nwere ike inye aka niile na-enyere aka guzobe ịntanetị efu na Russia taa. Anyị achịkọtala ndepụta zuru oke nke otu ị ga-esi nyere netwọk aka:
- Gwa ndị enyi gị na ndị ọrụ ibe gị gbasara netwọk Ọkara. Kekọrịta na akụkọ a na netwọk mmekọrịta ma ọ bụ blọgụ nkeonwe
- Soro na mkparịta ụka gbasara nka nka na netwọk Ọkara
- Mepụta ọrụ webụ gị na netwọk Yggdrasil wee tinye ya na ya
- Welie nke gị na netwọk Ọkara
Mbupute gara aga:
Gụọ kwa:
Anyị nọ na Telegram:
Naanị ndị ọrụ edebanyere aha nwere ike isonye na nyocha a. , Biko.
Ntuli aka ọzọ: ọ dị mkpa ka anyị mara echiche nke ndị na-enweghị akaụntụ zuru ezu na Habré
-
↑
-
↓
Ndị ọrụ 7 tụrụ vootu. Ndị ọrụ 2 anabataghị.
isi: www.habr.com