ミディアム ウィークリー ダイジェスト #5 (9 年 16 月 2019 ～ XNUMX 日)

Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?

- エドワードスノーデン

このダイジェストは、プライバシーの問題に対するコミュニティの関心を高めることを目的としています。 最新のイベント これまで以上に関連性が高まっています。

議題:

       Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
       «Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
       Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат

思い出してください - 「中」とは何ですか?

M （英語 M ～「仲介者」、オリジナルスローガン～ あなたのプライバシーを求めないでください。 それを取り戻す; 英語でもその言葉 ミディアム 「中間」を意味します) - ネットワーク アクセス サービスを提供するロシアの分散型インターネット プロバイダー ユグドラシル 無料。

正式名: Medium Internet Service Provider。 当初、このプロジェクトは次のように考えられました メッシュネットワーク в コロムナ市街地区.

Wi-Fi無線データ伝送技術の使用を通じてエンドユーザーにYggdrasilネットワークリソースへのアクセスを提供することにより、独立した電気通信環境の構築の一環として2019年XNUMX月に設立されました。

このトピックに関する詳細情報: «Всё, что вы хотели знать о децентрализованном интернет-провайдере «Medium», но боялись спросить»

Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок

Изначально в сети ユグドラシル, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.

Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?ローカルで実行されている Yggdrasil ネットワーク ルーター経由で Yggdrasil ネットワーク上の Web サービスに接続する場合、HTTPS を使用して Yggdrasil ネットワーク上の Web サービスに接続する必要はありません。

確かに: ユグドラシルの輸送は同等です プロトコル Yggdrasil ネットワーク内のリソースを安全に使用できるようにします。 MITM 攻撃 完全に除外されました。

Yggdarsil のイントラネット リソースに直接アクセスするのではなく、中間ノード (オペレータによって管理される Medium ネットワーク アクセス ポイント) を介してアクセスすると、状況は大きく変わります。

この場合、送信するデータを侵害できるのは誰ですか:

1. アクセスポイントオペレーター。 中規模ネットワーク アクセス ポイントの現在のオペレータが、その機器を通過する暗号化されていないトラフィックを盗聴できることは明らかです。
2. 侵入者 (真ん中の男）。 Medium には次のような問題があります Torネットワークの問題、入力ノードと中間ノードに関連する場合のみ。

見た目はこんな感じ

ソリューション: Yggdrasil ネットワーク内の Web サービスにアクセスするには、HTTPS プロトコル (レベル 7) を使用します。 OSIモデル）。 問題は、Yggdrasil ネットワーク サービスの正規のセキュリティ証明書を、従来の方法では発行できないことです。 暗号化しよう.

したがって、私たちは独自の認証センターを設立しました - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».

もちろん、認証局のルート証明書が侵害される可能性は考慮されていますが、ここではデータ送信の整合性を確認し、MITM 攻撃の可能性を排除するために証明書がより必要です。

さまざまな事業者の中規模ネットワーク サービスには、ルート証明機関によって何らかの方法で署名されたさまざまなセキュリティ証明書があります。 ただし、ルート CA オペレータは、セキュリティ証明書に署名したサービスからの暗号化トラフィックを盗聴することはできません (「 「CSRって何？」).

自分の安全を特に懸念している人は、次のような追加の保護手段を使用できます。 PGP и 類似.

現在、Medium ネットワークの公開キー インフラストラクチャには、次のプロトコルを使用して証明書のステータスを確認する機能があります。 OCSP または使用を通じて CRL.

要点をつかむ

ユーザー @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».

Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.

Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.

Вы можете помочь развитию проекта, присоединившись к разработке на GitHub.

«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?

Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».

Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».

Как теперь выглядит цепочка доверия сертификатов?



Что необходимо сделать, чтобы всё заработало, если вы — пользователь:

Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.

それも必要です установить новый сертификат удостоверяющего центра «Medium Global Root CA».

Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:

Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).

Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат

В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.

Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.

В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.

1ステップ。 Сгенерируйте приватный ключ и параметры Диффи-Хеллмана

openssl genrsa -out domain.ygg.key 2048

その後：

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

2ステップ。 Создайте запрос на подпись сертификата

openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.conf

ファイルの内容 domain.ygg.conf:

[ req ]
default_bits                = 2048
distinguished_name          = req_distinguished_name
x509_extensions             = v3_req

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = RU
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName                = Locality Name (eg, city)
localityName_default        = Kolomna
organizationName            = Organization Name (eg, company)
organizationName_default    = ACME, Inc.
commonName                  = Common Name (eg, YOUR name)
commonName_max              = 64
commonName_default          = *.domain.ygg

[ v3_req ]
subjectKeyIdentifier        = hash
keyUsage                    = critical, digitalSignature, keyEncipherment
extendedKeyUsage            = serverAuth
basicConstraints            = CA:FALSE
nsCertType                  = server
authorityKeyIdentifier      = keyid,issuer:always
crlDistributionPoints       = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess         = OCSP;URI:http://ocsp.medium.isp

3ステップ。 Отправьте запрос на получение сертификата

Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.

Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.

4ステップ。 Настройте ваш веб-сервер

Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:

ファイル domain.ygg.conf ディレクトリ内で /etc/nginx/sites-available/

server {
    listen [::]:80;
    listen [::]:443 ssl;

    root /var/www/domain.ygg;
    index index.php index.html index.htm index.nginx-debian.html;

    server_name domain.ygg;

    include snippets/domain.ygg.conf;
    include snippets/ssl-params.conf;

    location = /favicon.ico { log_not_found off; access_log off; }
    location = /robots.txt { log_not_found off; access_log off; allow all; }
    location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
        expires max;
        log_not_found off;
    }

    location / {
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ .php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

    location ~ /.ht {
        deny all;
    }
}

ファイル ssl-params.conf ディレクトリ内で /etc/nginx/snippets/

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ファイル domain.ygg.conf ディレクトリ内で /etc/nginx/snippets/

ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;

Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/プライベート/.

5ステップ。 Перезапустите ваш веб-сервер

sudo service nginx restart

ロシアの無料インターネットはあなたから始まります

今日、ロシアにおける無料インターネットの確立にあらゆる支援を提供することができます。 私たちはネットワークをどのように支援できるかを正確にまとめた包括的なリストを作成しました。

• 友人や同僚に Medium ネットワークについて知らせてください。 共有 参照により ソーシャルネットワークまたは個人のブログでこの記事にアクセスしてください
• Medium ネットワーク上の技術的な問題のディスカッションに参加する GitHubで
• Yggdrasil ネットワーク上に Web サービスを作成し、 中規模ネットワークの DNS
• 上げてください アクセス・ポイント 中規模ネットワークへ

以前のリリース:

   ミディアム ウィークリー ダイジェスト #1 (12 年 19 月 2019 ～ XNUMX 日)
   ミディアム ウィークリー ダイジェスト #2 (19 年 26 月 2019 ～ XNUMX 日)
   ミディアム ウィークリー ダイジェスト #3 (26 年 2 月 2019 日 – XNUMX 月 XNUMX 日)
   ミディアム ウィークリー ダイジェスト #4 (2 年 9 月 2019 ～ XNUMX 日)

も参照してください：

分散型インターネット プロバイダー Medium について知りたかったけど、聞くのが怖かったすべてのこと
ハニー、私たちはインターネットを殺そうとしています
分散型インターネットプロバイダー「中」 - XNUMX か月後

私たちはテレグラムを利用しています: @medium_isp

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

代替投票: ハブレについて十分な情報を持っていない人々の意見を知ることは私たちにとって重要です

• ↑

• ↓

7 人のユーザーが投票しました。 2名のユーザーが棄権した。

出所： habr.com