"Орто" кол коюлган сертификаттарды автоматтык түрдө берүү мүмкүнчүлүгүн киргизет "Орто тамыр CA"
Эскерте кетсек, "Орто" деген эмне?
орто (Eng. орто - "ортомчу", оригиналдуу ураан - Купуялыгыңызды сурабаңыз. Кайра ал; англис тилинде да сөз орто "орто" дегенди билдирет) - тармакка кирүү кызматтарын көрсөткөн орусиялык борбордон ажыратылган интернет провайдери Yggdrasil акысыз.
2019-жылдын апрелинде Wi-Fi зымсыз маалыматтарды берүү технологиясын колдонуу аркылуу акыркы колдонуучуларга Yggdrasil тармагынын ресурстарына жетүү менен көз карандысыз телекоммуникациялык чөйрөнү түзүүнүн алкагында түзүлгөн.
"Орто" толугу менен Yggdrasil өтөт
Yggdrasil өзүн-өзү уюштуруу болуп саналат Тор тармагы, роутерлерди үстүнкү режимде да (Интернеттин үстүндө) жана зымдуу же зымсыз байланыш аркылуу түздөн-түз бири-бирине туташтыруу мүмкүнчүлүгүнө ээ.
Yggdrasil долбоордун уландысы болуп саналат CjDNS. Yggdrasil жана CjDNS ортосундагы негизги айырмачылык протоколду колдонуу болуп саналат STP (капталган дарак протоколу).
Демейки боюнча, тармактагы бардык роутерлер колдонушат аягына чейин шифрлөө башка катышуучуларынын ортосунда маалыматтарды берүү.
Medium тармагынын бардык кирүү чекиттерин I2Pден Yggdrasilге которуу чечими туташуу ылдамдыгын жогорулатуу зарылдыгына жана Full-Mesh топологиясы менен Mesh тармагын жайылтуу мүмкүнчүлүгүнө байланыштуу болду.
"Орто" Yggdrasil тармагында өзүнүн DNS түзөт
Башында, Yggdrasil тармагында тармактын катышуучуларына эң көп кирген ресурстарга жөнөкөй жана тааныш формада кирүүгө мүмкүндүк берүүчү борборлоштурулган домендик аталыш сервери болгон эмес (белгилүү сервердин IPv6 дарегин колдонуудан айырмаланып).
Биз Mediumда бул идеяга дем берүүнү чечтик - жана бир аз алдыга карап, ийгиликке жеттик!
Домендик аталышты каттоо автоматтык түрдө ишке ашат - сиз жөн гана кызмат иштеп жаткан сервердин IPv6 дарегин көрсөтүшүңүз керек. Робот бул дарек чындыгында домендик аталышты каттоого аракет кылып жаткан адамга таандык экенин текшерет.
Эгер ийгиликтүү болсо, домендик аталыш 24 сааттын ичинде домендик аталыштар базасына кошулат. Эгер сервер роботко жооп бербей калса жана 72 сааттан ашык жеткиликсиз болсо, домендик аталыш чыгарылат.
Катталган домендик аталыштардын толук тизмесинин көчүрмөсү дареги боюнча жеткиликтүү GitHubдагы репозиторийлер.
"Орто" "Орто Root CA" тарабынан кол коюлган сертификаттарды автоматтык түрдө чыгаруу мүмкүнчүлүгүн киргизет
Домендик аталыштын серверин түзүү ошондой эле ачык ачкыч инфраструктурасын жайылтуу зарылчылыгы менен шартталган – сертификатты берүү үчүн анда сертификат берилүүчү домендик аталыш болуп саналган CN (Жалпы ысым) талаасы болушу керек.
Тастыктоочу орган тарабынан кол коюлган сертификаттарды берүү процедурасы автоматтык түрдө ишке ашат - робот колдонуучу киргизген маалыматтардын тууралыгын жана аныктыгын текшерет. Эгер ийгиликтүү болсо, кол коюлган сертификатты камтыган акыркы колдонуучуга электрондук кат жөнөтүлөт.
Yggdrasil тармагында HTTPS колдонуунун себеби эмнеде?
Yggdrasil тармагындагы веб-кызматтарга туташуу үчүн HTTPSти колдонуунун кереги жок, эгер сиз аларга жергиликтүү Yggdrasil тармак роутери аркылуу туташсаңыз.
Чынында эле: Yggdrasil транспорту бирдей протокол жүргүзүү жөндөмдүүлүгү - коопсуз Yggdrasil тармагынын ичинде ресурстарды пайдаланууга мүмкүндүк берет MITM чабуулдары толугу менен алынып салынган.
Эгер сиз Yggdarsilдин интранет ресурстарына түздөн-түз эмес, ортодогу түйүн - анын оператору тарабынан башкарылуучу Орто тармакка кирүү чекити аркылуу кирсеңиз, кырдаал түп-тамырынан өзгөрөт.
Бул учурда, сиз өткөрүп жаткан маалыматтарды ким бузушу мүмкүн:
Кирүү чекитинин оператору. Орто тармакка кирүү чекитинин учурдагы оператору анын жабдуулары аркылуу өткөн шифрленбеген трафикти тыңшай алаары айдан ачык.
чечим: Yggdrasil тармагындагы желе кызматтарына кирүү үчүн HTTPS протоколун колдонуңуз (деңгээл 7 OSI моделдери). Маселе, Yggdrasil тармактык кызматтары үчүн чыныгы коопсуздук сертификатын кадимки жол менен берүү мүмкүн эмес. Кел код.
Ошондуктан, биз өзүбүздүн сертификаттоо борборун түздүк - "Орто тамыр CA". Medium тармагынын бардык кызматтары ушул сертификаттоо органынын негизги коопсуздук сертификаты менен кол коюлган.
Тастыктоочу органдын түпкү сертификатын бузуу мүмкүнчүлүгү, албетте, эске алынган - бирок бул жерде сертификат маалыматтарды берүүнүн бүтүндүгүн тастыктоо жана MITM чабуулдарынын мүмкүнчүлүгүн жокко чыгаруу үчүн зарыл.
Ар кандай операторлордун орто тармактык кызматтары ар кандай коопсуздук сертификаттарына ээ, тигил же бул жол менен түпкү сертификаттоо органы тарабынан кол коюлган. Бирок, Root CA операторлору коопсуздук сертификаттарына кол койгон кызматтардан шифрленген трафикти тыңшай алышпайт (караңыз "КСЖ деген эмне?").
Өзүнүн коопсуздугуна өзгөчө тынчсыздангандар кошумча коргоо сыяктуу каражаттарды колдоно алышат, мисалы PGP и окшош.
Учурда Medium тармагынын ачык ачкыч инфраструктурасы протоколдун жардамы менен сертификаттын статусун текшерүү мүмкүнчүлүгүнө ээ. OCSP же пайдалануу аркылуу C.R.L..
Россияда бекер интернет сизден башталат
Сиз бүгүн Россияда бекер интернетти орнотууга бардык жардамды көрсөтө аласыз. Биз тармакка кантип жардам бере аларыңыздын толук тизмесин түздүк:
Досторуңузга жана кесиптештериңизге Medium тармагы жөнүндө айтыңыз. Бөлүшүү байланыш Бул макалага коомдук тармактарда же жеке блогдо
Medium тармагынын техникалык маселелерин талкуулоого катышыңыз GitHub боюнча
Yggdrasil тармагында веб кызматыңызды түзүп, аны кошуңуз Орто тармактын DNS