Við heyrum orðalagið „þjóðaröryggi“ allan tímann, en þegar stjórnvöld fara að fylgjast með samskiptum okkar, taka þau upp án trúverðugs gruns, lagastoðs og án augljóss tilgangs, hljótum við að spyrja okkur þeirrar spurningar: eru þau virkilega að vernda þjóðaröryggi eða eru þeir að vernda sína eigin?
- Edward Snowden
Þessari samantekt er ætlað að auka áhuga bandalagsins á friðhelgi einkalífsins, sem í ljósi þess verður viðeigandi en nokkru sinni fyrr.
Á dagskrá:
Áhugamenn úr samfélagi dreifðu netveitunnar „Medium“ búa til sína eigin leitarvél
Medium hefur stofnað nýtt vottunaryfirvald, Medium Global Root CA. Hverjir verða fyrir áhrifum af breytingunum?
Öryggisvottorð fyrir hvert heimili - hvernig á að búa til þína eigin þjónustu á Yggdrasil netinu og gefa út gilt SSL vottorð fyrir það
Minntu mig - hvað er „miðlungs“?
Medium (English Medium - "milliliði", upprunalega slagorð - Ekki biðja um friðhelgi þína. Taktu það til baka; líka á ensku orðið miðlungs þýðir „millistig“) - rússnesk dreifð internetveita sem veitir netaðgangsþjónustu ókeypis.
Fullt nafn: Medium Internet Service Provider. Upphaflega var verkefnið hugsað sem в .
Stofnað í apríl 2019 sem hluti af því að skapa sjálfstætt fjarskiptaumhverfi með því að veita endanotendum aðgang að Yggdrasil netauðlindum með notkun þráðlausrar þráðlausrar gagnaflutningstækni.
Nánari upplýsingar um efnið:
Áhugamenn úr samfélagi dreifðu netveitunnar „Medium“ búa til sína eigin leitarvél
Upphaflega á netinu , sem dreifða netþjónustan Medium notar sem flutning, var ekki með eigin DNS-þjón eða opinbera lykilinnviði - hins vegar leysti þörfin á að gefa út öryggisvottorð fyrir Medium netþjónustu þessi tvö vandamál.
Af hverju þarftu PKI ef Yggdrasil út úr kassanum veitir möguleika á að dulkóða umferð milli jafningja?Það er engin þörf á að nota HTTPS til að tengjast vefþjónustu á Yggdrasil netinu ef þú tengist þeim í gegnum Yggdrasil netbeini sem keyrir á staðnum.
Reyndar: Yggdrasil samgöngur eru á pari gerir þér kleift að nota auðlindir á öruggan hátt innan Yggdrasil netsins - getu til að framkvæma algjörlega útilokað.
Ástandið breytist á róttækan hátt ef þú opnar innra netið Yggdarsil ekki beint, heldur í gegnum millihnút - miðlungs netaðgangsstaðinn, sem er stjórnað af rekstraraðila þess.
Í þessu tilviki, hver getur haft áhrif á gögnin sem þú sendir:
- Rekstraraðili aðgangsstaða. Það er augljóst að núverandi rekstraraðili miðlungs netaðgangsstaðarins getur hlustað á ódulkóðaða umferð sem fer í gegnum búnað hans.
- boðflenna (). Medium hefur svipað vandamál og , aðeins í tengslum við inntak og millihnúta.
Svona lítur þetta út
ákvörðun: til að fá aðgang að vefþjónustum innan Yggdrasil netsins, notaðu HTTPS samskiptareglur (stig 7 ). Vandamálið er að ekki er hægt að gefa út ekta öryggisvottorð fyrir Yggdrasil netþjónustu með eðlilegum hætti s.s. .
Þess vegna stofnuðum við okkar eigin vottunarmiðstöð - . Mikill meirihluti þjónustu á Medium netinu er undirritaður af rótaröryggisskírteini millivottunaryfirvaldsins Medium Domain Validation Secure Server CA.
Möguleikinn á að skerða rótarvottorð vottunaryfirvaldsins var að sjálfsögðu tekinn með í reikninginn - en hér er vottorðið nauðsynlegra til að staðfesta heilleika gagnaflutnings og útiloka möguleika á MITM árásum.
Miðlungs netþjónusta frá mismunandi rekstraraðilum hefur mismunandi öryggisvottorð, með einum eða öðrum hætti undirrituð af rótarvottunaryfirvöldum. Hins vegar geta Root CA rekstraraðilar ekki hlert dulkóðaða umferð frá þjónustu sem þeir hafa undirritað öryggisvottorð til (sjá ).
Þeir sem hafa sérstakar áhyggjur af öryggi sínu geta notað slíkar aðferðir eins og viðbótarvernd, svo sem и .
Eins og er, hefur almenningslykilinnviði Medium netsins getu til að athuga stöðu vottorðs með því að nota samskiptareglur eða með notkun .
Komdu að málinu
User hóf að þróa leitarvél fyrir vefþjónustu sem staðsett er á Yggdrasil netinu. Mikilvægur þáttur er sú staðreynd að ákvörðun á IPv6 vistföngum þjónustu við leit fer fram með því að senda beiðni til DNS netþjóns sem staðsettur er innan miðlungs netsins.
Helsta TLD er .ygg. Flest lén hafa þetta TLD, með tveimur undantekningum: .isp и .gg.
Leitarvélin er í þróun en notkun hennar er nú þegar möguleg í dag - farðu bara á vefsíðuna .
Þú getur hjálpað til við þróun verkefnisins, .
Medium hefur stofnað nýtt vottunaryfirvald, Medium Global Root CA. Hverjir verða fyrir áhrifum af breytingunum?
Í gær lauk opinberri prófun á virkni Medium Root CA vottunarmiðstöðvarinnar. Í lok prófunar voru villur í rekstri opinberra lykilinnviðaþjónustu leiðréttar og nýtt rótarvottorð vottunaryfirvaldsins „Medium Global Root CA“ var búið til.
Tekið var tillit til allra blæbrigða og eiginleika PKI - nú verður nýja CA vottorðið „Medium Global Root CA“ gefið út aðeins tíu árum síðar (eftir gildistíma þess). Nú eru öryggisvottorð aðeins gefin út af millivottunaryfirvöldum - til dæmis „Medium Domain Validation Secure Server CA“.
Hvernig lítur vottorðatraustkeðjan út núna?
Hvað þarf að gera til að allt virki ef þú ert notandi:
Þar sem sumar þjónustur nota HSTS, verður þú að eyða gögnum úr miðlungs innra neti áður en þú notar miðlungs nettilföng. Þú getur gert þetta í Saga flipanum í vafranum þínum.
Það er líka nauðsynlegt vottunarmiðstöð "Medium Global Root CA".
Hvað þarf að gera til að allt virki ef þú ert kerfisstjóri:
Þú þarft að endurútgefa vottorðið fyrir þjónustu þína á síðunni (Þjónustan er aðeins fáanleg á Medium neti).
Öryggisvottorð fyrir hvert heimili - hvernig á að búa til þína eigin þjónustu á Yggdrasil netinu og gefa út gilt SSL vottorð fyrir það
Vegna fjölgunar innra netþjónustu á Medium netinu hefur þörf á að gefa út ný öryggisvottorð og stilla þjónustu þeirra þannig að þær styðji SSL aukist.
Þar sem Habr er tæknileg úrræði mun einn af dagskrárliðunum í hverri nýrri samantekt sýna tæknilega eiginleika miðlungs netkerfisins. Til dæmis eru hér að neðan ítarlegar leiðbeiningar um útgáfu SSL vottorðs fyrir þjónustu þína.
Dæmin munu gefa til kynna lénið lén.ygg, sem verður að skipta út fyrir lén þjónustunnar þinnar.
Skref 1. Búðu til einkalykil og Diffie-Hellman færibreytur
openssl genrsa -out domain.ygg.key 2048Þá:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Skref 2. Búðu til beiðni um undirritun vottorðs
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confInnihald skráar lén.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Skref 3. Sendu inn vottorðsbeiðni
Til að gera þetta, afritaðu innihald skráarinnar domain.ygg.csr og límdu það inn í textareitinn á síðunni .
Fylgdu leiðbeiningunum á vefsíðunni og smelltu síðan á "Senda". Ef vel tekst til verða skilaboð send á netfangið sem þú gafst upp sem inniheldur viðhengi í formi vottorðs undirritaðs af millivottunaryfirvöldum.
Skref 4. Settu upp vefþjóninn þinn
Ef þú ert að nota nginx sem vefþjón þinn skaltu nota eftirfarandi stillingar:
skrá lén.ygg.conf í skránni /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
skrá ssl-params.conf í skránni /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
skrá lén.ygg.conf í skránni /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Vottorðið sem þú fékkst í tölvupósti verður að afrita á: /etc/ssl/certs/domain.ygg.crt. Einkalykill (lén.ygg.lykill) settu það í möppu /etc/ssl/private/.
Skref 5. Endurræstu vefþjóninn þinn
sudo service nginx restartÓkeypis internet í Rússlandi byrjar með þér
Þú getur veitt alla mögulega aðstoð við að koma á ókeypis interneti í Rússlandi í dag. Við höfum tekið saman yfirgripsmikinn lista yfir hvernig þú getur hjálpað netkerfinu:
- Segðu vinum þínum og samstarfsmönnum frá Medium netinu. Deila við þessa grein á samfélagsmiðlum eða persónulegu bloggi
- Taktu þátt í umræðu um tæknileg atriði Miðlungsnetsins
- Búðu til þinn vefþjónustu á Yggdrasil netinu og bættu henni við
- Hækkaðu þína til Medium netsins
Fyrri útgáfur:
Sjá einnig:
Við erum í Telegram:
Aðeins skráðir notendur geta tekið þátt í könnuninni. , takk.
Aðrar kosningar: það er mikilvægt fyrir okkur að vita álit þeirra sem ekki eru með fullan aðgang á Habré
-
↑
-
↓
7 notendur greiddu atkvæði. 2 notendur sátu hjá.
Heimild: www.habr.com