Við heyrum orðalagið „þjóðaröryggi“ allan tímann, en þegar stjórnvöld fara að fylgjast með samskiptum okkar, taka þau upp án trúverðugs gruns, lagastoðs og án augljóss tilgangs, hljótum við að spyrja okkur þeirrar spurningar: eru þau virkilega að vernda þjóðaröryggi eða eru þeir að vernda sína eigin?
- Edward Snowden
Þessari samantekt er ætlað að auka áhuga bandalagsins á friðhelgi einkalífsins, sem í ljósi þess nýjustu atburðir verður viðeigandi en nokkru sinni fyrr.
Á dagskrá:
Áhugamenn úr samfélagi dreifðu netveitunnar „Medium“ búa til sína eigin leitarvél
Medium hefur stofnað nýtt vottunaryfirvald, Medium Global Root CA. Hverjir verða fyrir áhrifum af breytingunum?
Öryggisvottorð fyrir hvert heimili - hvernig á að búa til þína eigin þjónustu á Yggdrasil netinu og gefa út gilt SSL vottorð fyrir það
Minntu mig - hvað er „miðlungs“?
Medium (English Medium - "milliliði", upprunalega slagorð - Ekki biðja um friðhelgi þína. Taktu það til baka; líka á ensku orðið miðlungs þýðir „millistig“) - rússnesk dreifð internetveita sem veitir netaðgangsþjónustu Yggdrasil ókeypis.
Fullt nafn: Medium Internet Service Provider. Upphaflega var verkefnið hugsað sem Mesh net в Kolomna borgarhverfi.
Stofnað í apríl 2019 sem hluti af því að skapa sjálfstætt fjarskiptaumhverfi með því að veita endanotendum aðgang að Yggdrasil netauðlindum með notkun þráðlausrar þráðlausrar gagnaflutningstækni.
Áhugamenn úr samfélagi dreifðu netveitunnar „Medium“ búa til sína eigin leitarvél
Upphaflega á netinu Yggdrasil, sem dreifða netþjónustan Medium notar sem flutning, var ekki með eigin DNS-þjón eða opinbera lykilinnviði - hins vegar leysti þörfin á að gefa út öryggisvottorð fyrir Medium netþjónustu þessi tvö vandamál.
Af hverju þarftu PKI ef Yggdrasil út úr kassanum veitir möguleika á að dulkóða umferð milli jafningja?Það er engin þörf á að nota HTTPS til að tengjast vefþjónustu á Yggdrasil netinu ef þú tengist þeim í gegnum Yggdrasil netbeini sem keyrir á staðnum.
Reyndar: Yggdrasil samgöngur eru á pari bókun gerir þér kleift að nota auðlindir á öruggan hátt innan Yggdrasil netsins - getu til að framkvæma MITM árásir algjörlega útilokað.
Ástandið breytist á róttækan hátt ef þú opnar innra netið Yggdarsil ekki beint, heldur í gegnum millihnút - miðlungs netaðgangsstaðinn, sem er stjórnað af rekstraraðila þess.
Í þessu tilviki, hver getur haft áhrif á gögnin sem þú sendir:
Rekstraraðili aðgangsstaða. Það er augljóst að núverandi rekstraraðili miðlungs netaðgangsstaðarins getur hlustað á ódulkóðaða umferð sem fer í gegnum búnað hans.
ákvörðun: til að fá aðgang að vefþjónustum innan Yggdrasil netsins, notaðu HTTPS samskiptareglur (stig 7 OSI módel). Vandamálið er að ekki er hægt að gefa út ekta öryggisvottorð fyrir Yggdrasil netþjónustu með eðlilegum hætti s.s. Skulum dulrita.
Þess vegna stofnuðum við okkar eigin vottunarmiðstöð - "Meðal alþjóðleg rót CA". Mikill meirihluti þjónustu á Medium netinu er undirritaður af rótaröryggisskírteini millivottunaryfirvaldsins Medium Domain Validation Secure Server CA.
Möguleikinn á að skerða rótarvottorð vottunaryfirvaldsins var að sjálfsögðu tekinn með í reikninginn - en hér er vottorðið nauðsynlegra til að staðfesta heilleika gagnaflutnings og útiloka möguleika á MITM árásum.
Miðlungs netþjónusta frá mismunandi rekstraraðilum hefur mismunandi öryggisvottorð, með einum eða öðrum hætti undirrituð af rótarvottunaryfirvöldum. Hins vegar geta Root CA rekstraraðilar ekki hlert dulkóðaða umferð frá þjónustu sem þeir hafa undirritað öryggisvottorð til (sjá "Hvað er CSR?").
Þeir sem hafa sérstakar áhyggjur af öryggi sínu geta notað slíkar aðferðir eins og viðbótarvernd, svo sem PGP и svipað.
Eins og er, hefur almenningslykilinnviði Medium netsins getu til að athuga stöðu vottorðs með því að nota samskiptareglur OCSP eða með notkun C.R.L..
Komdu að málinu
User @NXShock hóf að þróa leitarvél fyrir vefþjónustu sem staðsett er á Yggdrasil netinu. Mikilvægur þáttur er sú staðreynd að ákvörðun á IPv6 vistföngum þjónustu við leit fer fram með því að senda beiðni til DNS netþjóns sem staðsettur er innan miðlungs netsins.
Helsta TLD er .ygg. Flest lén hafa þetta TLD, með tveimur undantekningum: .isp и .gg.
Leitarvélin er í þróun en notkun hennar er nú þegar möguleg í dag - farðu bara á vefsíðuna leita.medium.isp.
Medium hefur stofnað nýtt vottunaryfirvald, Medium Global Root CA. Hverjir verða fyrir áhrifum af breytingunum?
Í gær lauk opinberri prófun á virkni Medium Root CA vottunarmiðstöðvarinnar. Í lok prófunar voru villur í rekstri opinberra lykilinnviðaþjónustu leiðréttar og nýtt rótarvottorð vottunaryfirvaldsins „Medium Global Root CA“ var búið til.
Tekið var tillit til allra blæbrigða og eiginleika PKI - nú verður nýja CA vottorðið „Medium Global Root CA“ gefið út aðeins tíu árum síðar (eftir gildistíma þess). Nú eru öryggisvottorð aðeins gefin út af millivottunaryfirvöldum - til dæmis „Medium Domain Validation Secure Server CA“.
Hvernig lítur vottorðatraustkeðjan út núna?
Hvað þarf að gera til að allt virki ef þú ert notandi:
Þar sem sumar þjónustur nota HSTS, verður þú að eyða gögnum úr miðlungs innra neti áður en þú notar miðlungs nettilföng. Þú getur gert þetta í Saga flipanum í vafranum þínum.
Hvað þarf að gera til að allt virki ef þú ert kerfisstjóri:
Þú þarft að endurútgefa vottorðið fyrir þjónustu þína á síðunni pki.medium.isp (Þjónustan er aðeins fáanleg á Medium neti).
Öryggisvottorð fyrir hvert heimili - hvernig á að búa til þína eigin þjónustu á Yggdrasil netinu og gefa út gilt SSL vottorð fyrir það
Vegna fjölgunar innra netþjónustu á Medium netinu hefur þörf á að gefa út ný öryggisvottorð og stilla þjónustu þeirra þannig að þær styðji SSL aukist.
Þar sem Habr er tæknileg úrræði mun einn af dagskrárliðunum í hverri nýrri samantekt sýna tæknilega eiginleika miðlungs netkerfisins. Til dæmis eru hér að neðan ítarlegar leiðbeiningar um útgáfu SSL vottorðs fyrir þjónustu þína.
Dæmin munu gefa til kynna lénið lén.ygg, sem verður að skipta út fyrir lén þjónustunnar þinnar.
Skref 1. Búðu til einkalykil og Diffie-Hellman færibreytur
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Skref 3. Sendu inn vottorðsbeiðni
Til að gera þetta, afritaðu innihald skráarinnar domain.ygg.csr og límdu það inn í textareitinn á síðunni pki.medium.isp.
Fylgdu leiðbeiningunum á vefsíðunni og smelltu síðan á "Senda". Ef vel tekst til verða skilaboð send á netfangið sem þú gafst upp sem inniheldur viðhengi í formi vottorðs undirritaðs af millivottunaryfirvöldum.
Skref 4. Settu upp vefþjóninn þinn
Ef þú ert að nota nginx sem vefþjón þinn skaltu nota eftirfarandi stillingar:
skrá lén.ygg.conf í skránni /etc/nginx/sites-available/
Vottorðið sem þú fékkst í tölvupósti verður að afrita á: /etc/ssl/certs/domain.ygg.crt. Einkalykill (lén.ygg.lykill) settu það í möppu /etc/ssl/private/.
Skref 5. Endurræstu vefþjóninn þinn
sudo service nginx restart
Ókeypis internet í Rússlandi byrjar með þér
Þú getur veitt alla mögulega aðstoð við að koma á ókeypis interneti í Rússlandi í dag. Við höfum tekið saman yfirgripsmikinn lista yfir hvernig þú getur hjálpað netkerfinu:
Segðu vinum þínum og samstarfsmönnum frá Medium netinu. Deila tilvísun við þessa grein á samfélagsmiðlum eða persónulegu bloggi
Taktu þátt í umræðu um tæknileg atriði Miðlungsnetsins á GitHub
Búðu til þinn vefþjónustu á Yggdrasil netinu og bættu henni við DNS miðlungs netsins