Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Ev digest armanc e ku berjewendiya Civakê di mijara nepenîtiyê de zêde bike, ku, di ronahiyê de ji her demê bêtir têkildar dibe.
Di rojevê de:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Bîne bîra min - "Navenda" çi ye?
Medya (Eng. Medya - "navbeynkar", slogana orîjînal - Nepeniya xwe nepirsin. Vegerîne; di inglîzî de jî peyva medya tê wateya "navend") - pêşkêşkerek Înternetê ya nemerkezî ya rûsî ku karûbarên gihîştina torê peyda dike belaş.
Navê tevahî: Pêşkêşvanê Karûbarê Înternetê ya Navîn. Di destpêkê de ev proje wekî hate fikirîn в .
Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Ne hewce ye ku hûn HTTPS-ê bikar bînin da ku hûn bi karûbarên webê yên li ser tora Yggdrasil ve girêbidin ger hûn bi wan re bi riya routerek tora Yggdrasil ya herêmî ve girêdayî bin.
Bi rastî: Veguhestina Yggdrasil li ser hev e destûrê dide te ku hûn çavkaniyên di hundurê tora Yggdrasil de bi ewlehî bikar bînin - şiyana birêvebirinê bi temamî ji holê rakirin.
Ger hûn ne rasterast, lê bi girêkek navîn - xala gihîştina torê ya navîn, ku ji hêla operatorê wê ve tê rêvebirin, bigihîjin çavkaniyên intranetê yên Yggdarsil, rewş bi rengek radîkal diguhezîne.
Di vê rewşê de, kî dikare daneyên ku hûn veguhezîne tawîz bide:
- Operatorê xala gihîştinê. Eşkere ye ku operatorê heyî yê xala gihîştina tora Navîn dikare seyrûsefera neşîfrekirî ya ku di nav alavên wê re derbas dibe bibihîze.
- binavket (). Pirsgirêkek navîn heye , tenê di pêwendiya têketin û girêkên navîn de.
Ev e ku ew xuya dike
biryar: Ji bo gihîştina karûbarên malperê di nav tora Yggdrasil de, protokola HTTPS bikar bînin (asta 7 ). Pirsgirêk ev e ku ne gengaz e ku bi rêyên normal ên wekî .
Ji ber vê yekê, me navenda xwe ya pejirandinê ava kir - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Bê guman, îhtîmala tawîzkirina sertîfîkaya root ya saziya pejirandî hate hesibandin - lê li vir sertîfîka ji bo piştrastkirina yekdestiya veguheztina daneyê û rakirina îhtîmala êrişên MITM-ê bêtir hewce ye.
Karûbarên torê yên navîn ên ji operatorên cihêreng xwedan sertîfîkayên ewlehiyê yên cihê ne, yek an rêyek din ku ji hêla desthilatdariya pejirandina root ve hatî îmze kirin. Lêbelê, operatorên Root CA nekarin seyrûsefera şîfrekirî ya ji servîsên ku wan belgeyên ewlehiyê îmze kirine bibihîzin (binêre ).
Kesên ku bi taybetî li ser ewlehiya xwe bi fikar in, dikarin amûrên wekî parastina zêde bikar bînin, wek mînak и .
Heya nuha, binesaziya mifteya gelemperî ya tora Navîn xwedan şiyana ku bi karanîna protokolê statûya sertîfîkayekê kontrol bike an jî bi karanîna .
Biçe ser xalê
Bikarhêner начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Ew jî pêdivî ye удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Step 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Dûv re:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Step 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confNaveroka pelê domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Step 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Step 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
file domain.ygg.conf di pelrêça /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
file ssl-params.conf di pelrêça /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
file domain.ygg.conf di pelrêça /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Step 5. Перезапустите ваш веб-сервер
sudo service nginx restartÎnterneta belaş li Rûsyayê bi we re dest pê dike
Hûn dikarin îro ji bo avakirina Înternetek belaş li Rûsyayê hemî arîkariya gengaz peyda bikin. Me navnîşek berfireh berhev kiriye ka hûn çawa dikarin alîkariya torê bikin:
- Ji heval û hogirên xwe re li ser tora Medium re bêje. Par vê gotarê li ser torên civakî an bloga kesane
- Beşdarî nîqaşkirina pirsgirêkên teknîkî yên li ser tora Navîn bibin
- Karûbarê xweya malperê li ser tora Yggdrasil biafirînin û wê lê zêde bikin
- Xwe bilind bikin tora Navîn
Weşanên berê:
Bixwînin:
Em li ser Telegramê ne:
Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. ji kerema xwe.
Dengdana Alternatîf: ji bo me girîng e ku em raya kesên ku li ser Habré xwedî hesabek tam nînin zanibin.
-
↑
-
↓
7 bikarhêneran deng dan. 2 bikarhêner betal bûn.
Source: www.habr.com