Sentiamo continuamente la frase “sicurezza nazionale”, ma quando il governo inizia a monitorare le nostre comunicazioni, registrandole senza sospetti credibili, base giuridica e senza alcuno scopo apparente, dobbiamo porci la domanda: stanno davvero proteggendo la sicurezza nazionale o proteggono se stessi?
- Edward Snowden
Questo riassunto ha lo scopo di aumentare l'interesse della Comunità per la questione della privacy, che, alla luce di diventa più rilevante che mai.
Sull'agenda:
Gli appassionati della comunità del provider Internet decentralizzato “Medium” stanno creando il proprio motore di ricerca
Medium ha istituito una nuova autorità di certificazione, Medium Global Root CA. Chi sarà interessato dai cambiamenti?
Certificati di sicurezza per ogni casa: come creare il proprio servizio sulla rete Yggdrasil ed emettere per esso un certificato SSL valido
Ricordamelo: cos'è "Medio"?
Medio (Inglese Medio - “intermediario”, slogan originale - Non chiedere la tua privacy. Riprenditelo; anche in inglese la parola medie significa "intermedio") - un provider Internet decentralizzato russo che fornisce servizi di accesso alla rete gratuito.
Nome completo: provider di servizi Internet medio. Inizialmente il progetto è stato concepito come в .
Costituito nell'aprile 2019 come parte della creazione di un ambiente di telecomunicazioni indipendente fornendo agli utenti finali l'accesso alle risorse di rete Yggdrasil attraverso l'uso della tecnologia di trasmissione dati wireless Wi-Fi.
Maggiori informazioni sull'argomento:
Gli appassionati della comunità del provider Internet decentralizzato “Medium” stanno creando il proprio motore di ricerca
Originariamente online , che il fornitore di servizi Internet decentralizzato Medium utilizza come mezzo di trasporto, non disponeva di un proprio server DNS o di un'infrastruttura a chiave pubblica; tuttavia, la necessità di emettere certificati di sicurezza per i servizi di rete Medium ha risolto questi due problemi.
Perché hai bisogno della PKI se Yggdrasil offre immediatamente la possibilità di crittografare il traffico tra peer?Non è necessario utilizzare HTTPS per connettersi ai servizi Web sulla rete Yggdrasil se ci si connette ad essi tramite un router di rete Yggdrasil in esecuzione locale.
Infatti: il trasporto di Yggdrasil è alla pari ti consente di utilizzare in sicurezza le risorse all'interno della rete Yggdrasil: la capacità di condurre completamente escluso.
La situazione cambia radicalmente se si accede alle risorse intranet di Yggdarsil non direttamente, ma attraverso un nodo intermedio: il punto di accesso alla rete Medium, amministrato dal suo operatore.
In questo caso, chi può compromettere i dati trasmessi:
- Operatore del punto di accesso. È ovvio che l'attuale operatore del punto di accesso alla rete Medium può intercettare il traffico non crittografato che passa attraverso le sue apparecchiature.
- intruso (). Medium ha un problema simile a , solo in relazione ai nodi di input e intermedi.
Questo è quello che sembra
Soluzione: per accedere ai servizi web all'interno della rete Yggdrasil, utilizzare il protocollo HTTPS (livello 7 ). Il problema è che non è possibile emettere un certificato di sicurezza autentico per i servizi di rete Yggdrasil tramite mezzi convenzionali come .
Pertanto, abbiamo istituito il nostro centro di certificazione: . La stragrande maggioranza dei servizi nella rete Medium sono firmati dal certificato di sicurezza root dell'autorità di certificazione intermedia Medium Domain Validation Secure Server CA.
Naturalmente è stata presa in considerazione la possibilità di compromettere il certificato radice dell'autorità di certificazione, ma qui il certificato è più necessario per confermare l'integrità della trasmissione dei dati ed eliminare la possibilità di attacchi MITM.
I servizi di rete medi di operatori diversi hanno certificati di sicurezza diversi, in un modo o nell'altro firmati dall'autorità di certificazione principale. Tuttavia, gli operatori Root CA non sono in grado di intercettare il traffico crittografato proveniente dai servizi per i quali hanno firmato certificati di sicurezza (vedi ).
Coloro che sono particolarmente preoccupati per la propria sicurezza possono utilizzare mezzi come protezione aggiuntiva, ad esempio и .
Attualmente, l'infrastruttura a chiave pubblica della rete Medium ha la capacità di verificare lo stato di un certificato utilizzando il protocollo o attraverso l'uso .
Più vicino al punto
Utente ha iniziato a sviluppare un motore di ricerca per servizi web situati sulla rete Yggdrasil. Un aspetto importante è il fatto che la determinazione degli indirizzi IPv6 dei servizi durante la ricerca viene effettuata inviando una richiesta al server DNS situato all'interno della rete Medium.
Il TLD principale è .ygg. La maggior parte dei nomi di dominio hanno questo TLD, con due eccezioni: .isp и .gg.
Il motore di ricerca è in fase di sviluppo, ma il suo utilizzo è già possibile oggi: basta visitare il sito web .
Puoi aiutare lo sviluppo del progetto, .
Medium ha istituito una nuova autorità di certificazione, Medium Global Root CA. Chi sarà interessato dai cambiamenti?
Ieri è stato completato il test pubblico della funzionalità del centro di certificazione Medium Root CA. Al termine dei test sono stati corretti gli errori nel funzionamento dei servizi di infrastruttura a chiave pubblica ed è stato creato un nuovo certificato root dell’autorità di certificazione “Medium Global Root CA”.
Sono state prese in considerazione tutte le sfumature e le caratteristiche della PKI: ora il nuovo certificato CA "Medium Global Root CA" verrà rilasciato solo dieci anni dopo (dopo la sua data di scadenza). Ora i certificati di sicurezza vengono emessi solo da autorità di certificazione intermedie, ad esempio "Medium Domain Validation Secure Server CA".
Come appare ora la catena di fiducia dei certificati?
Cosa è necessario fare affinché tutto funzioni se sei un utente:
Poiché alcuni servizi utilizzano HSTS, prima di utilizzare le risorse di rete Medium, è necessario eliminare i dati dalle risorse Intranet Medium. Puoi farlo nella scheda Cronologia del tuo browser.
È anche necessario centro di certificazione "Medium Global Root CA".
Cosa bisogna fare per far funzionare il tutto se sei un operatore di sistema:
Devi riemettere il certificato per il tuo servizio nella pagina (il servizio è disponibile solo sulla rete Medium).
Certificati di sicurezza per ogni casa: come creare il proprio servizio sulla rete Yggdrasil ed emettere per esso un certificato SSL valido
A causa della crescita del numero di servizi intranet sulla rete Medium, è aumentata la necessità di emettere nuovi certificati di sicurezza e configurare i propri servizi in modo che supportino SSL.
Poiché Habr è una risorsa tecnica, in ogni nuovo digest uno dei punti all'ordine del giorno rivelerà le caratteristiche tecniche dell'infrastruttura di rete Medium. Ad esempio, di seguito sono riportate le istruzioni complete per l'emissione di un certificato SSL per il tuo servizio.
Gli esempi indicheranno il nome di dominio dominio.ygg, che dovrà essere sostituito con il nome di dominio del tuo servizio.
Passo 1. Genera chiave privata e parametri Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Quindi:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Passo 2. Creare una richiesta di firma del certificato
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confContenuto del file dominio.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Passo 3. Invia una richiesta di certificato
Per fare ciò, copia il contenuto del file dominio.ygg.csr e incollalo nel campo di testo sul sito .
Seguire le istruzioni fornite sul sito Web, quindi fare clic su "Invia". In caso di esito positivo, verrà inviato un messaggio all'indirizzo email specificato contenente un allegato sotto forma di certificato firmato da un'autorità di certificazione intermedia.
Passo 4. Configura il tuo server web
Se utilizzi nginx come server web, utilizza la seguente configurazione:
file dominio.ygg.conf nella rubrica /etc/nginx/siti-disponibili/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
file ssl-params.conf nella rubrica /etc/nginx/snippet/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
file dominio.ygg.conf nella rubrica /etc/nginx/snippet/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Il certificato ricevuto via email deve essere copiato in: /etc/ssl/certs/domain.ygg.crt. Chiave privata (dominio.ygg.chiave) inserirlo in una directory /etc/ssl/privato/.
Passo 5. Riavvia il tuo server web
sudo service nginx restartInternet gratis in Russia inizia da te
Oggi potete fornire tutta l'assistenza possibile per la creazione di Internet gratuita in Russia. Abbiamo compilato un elenco completo di come puoi aiutare la rete:
- Racconta ai tuoi amici e colleghi della rete Medium. Condividere a questo articolo sui social network o sul blog personale
- Partecipa alla discussione di questioni tecniche sulla rete Medium
- Crea il tuo servizio web sulla rete Yggdrasil e aggiungilo a
- Alza il tuo alla rete Media
Versioni precedenti:
Vedi anche:
Siamo su Telegram:
Solo gli utenti registrati possono partecipare al sondaggio. Per favore.
Voto alternativo: per noi è importante conoscere l'opinione di coloro che non hanno un account completo su Habré
-
↑
-
↓
7 utenti hanno votato. 2 utenti si sono astenuti.
Fonte: habr.com