Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Эдвард Сноуден
Бұл дайджест қоғамдастықтың құпиялылық мәселесіне қызығушылығын арттыруға арналған. бұрынғыдан да өзекті бола бастады.
Күн тәртібінде:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Еске салыңыз - «Орта» дегеніміз не?
орта (Eng. орта - «делдал», түпнұсқа ұраны - Жеке өміріңізді сұрамаңыз. Қайтарыңыз; ағылшын тілінде де сөз орта «аралық» дегенді білдіреді) - желіге кіру қызметтерін ұсынатын ресейлік орталықтандырылмаған Интернет провайдері ақысыз.
Толық атауы: Орташа Интернет-провайдер. Бастапқыда жоба ретінде ойластырылған в .
2019 жылдың сәуір айында Wi-Fi сымсыз деректерді беру технологиясын пайдалану арқылы соңғы пайдаланушыларға Yggdrasil желі ресурстарына қол жеткізуді қамтамасыз ету арқылы тәуелсіз телекоммуникациялық ортаны құру шеңберінде құрылған.
Тақырып бойынша қосымша ақпарат:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Жергілікті іске қосылған Yggdrasil желі маршрутизаторы арқылы қосылсаңыз, Yggdrasil желісіндегі веб-қызметтерге қосылу үшін HTTPS пайдаланудың қажеті жоқ.
Шынында да: Yggdrasil көлігі тең дәрежеде жүргізу мүмкіндігі - Yggdrasil желісінің ішіндегі ресурстарды қауіпсіз пайдалануға мүмкіндік береді толығымен алынып тасталды.
Егер сіз Yggdarsil интранет ресурстарына тікелей емес, аралық түйін - оның операторы басқаратын Орташа желіге кіру нүктесі арқылы қол жеткізсеңіз, жағдай түбегейлі өзгереді.
Бұл жағдайда сіз жіберген деректерді кім бұза алады:
- Қатынас нүктесі операторы. Орташа желіге кіру нүктесінің қазіргі операторы оның жабдығы арқылы өтетін шифрланбаған трафикті тыңдай алатыны анық.
- бұзушы (). Ортада осыған ұқсас мәселе бар , тек кіріс және аралық түйіндерге қатысты.
Ол осылай көрінеді
шешім: Yggdrasil желісіндегі веб-қызметтерге қол жеткізу үшін HTTPS протоколын пайдаланыңыз (7-деңгей ). Мәселе мынада, Yggdrasil желілік қызметтері үшін шынайы қауіпсіздік сертификатын әдеттегі құралдар арқылы беру мүмкін емес. .
Сондықтан біз өзіміздің сертификаттау орталығын құрдық - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Сертификаттау орталығының түбірлік сертификатын бұзу мүмкіндігі, әрине, ескерілді - бірақ бұл жерде сертификат деректерді берудің тұтастығын растау және MITM шабуылдарының мүмкіндігін жою үшін қажет.
Әртүрлі операторлардың орташа желілік қызметтерінде түбірлік сертификаттау органы қол қойған әртүрлі қауіпсіздік сертификаттары бар. Дегенмен, Root CA операторлары қауіпсіздік сертификаттарына қол қойған қызметтерден шифрланған трафикті тыңдай алмайды (қараңыз. ).
Қауіпсіздігіне ерекше алаңдайтындар қосымша қорғаныс сияқты құралдарды пайдалана алады, мысалы и .
Қазіргі уақытта Medium желісінің ашық кілттік инфрақұрылымы хаттаманы пайдалана отырып, сертификаттың күйін тексеру мүмкіндігіне ие. немесе пайдалану арқылы .
Нүктеге жақын
Пайдаланушы начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Сондай-ақ қажет удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
1 қадамға. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Сонда:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482 қадамға. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confФайл мазмұны domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 қадамға. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
4 қадамға. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
файл domain.ygg.conf каталогта /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
файл ssl-params.conf каталогта /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
файл domain.ygg.conf каталогта /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
5 қадамға. Перезапустите ваш веб-сервер
sudo service nginx restartРесейдегі тегін интернет сізден басталады
Сіз бүгінде Ресейде тегін интернетті құруға жан-жақты көмек көрсете аласыз. Біз желіге қалай көмектесетініңіздің толық тізімін жасадық:
- Достарыңызға және әріптестеріңізге Medium желісі туралы айтыңыз. Бөлісу осы мақалаға әлеуметтік желілерде немесе жеке блогта
- Medium желісінде техникалық мәселелерді талқылауға қатысыңыз
- Yggdrasil желісінде веб-қызметіңізді жасаңыз және оны қосыңыз
- Өзіңді көтер Орташа желіге
Алдыңғы шығарылымдар:
Сондай-ақ оқыңыз:
Біз Telegram желісінде:
Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. , өтінемін.
Балама дауыс беру: біз үшін Хабре туралы толық есебі жоқтардың пікірін білу маңызды
-
↑
-
↓
7 пайдаланушы дауыс берді. 2 пайдаланушы қалыс қалды.
Ақпарат көзі: www.habr.com