🥇Орто жумалык дайджест №5 (9 – 16-август, 2019-ж.)

Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?

- Эдуард Сноуден

Бул дайджест Коомчулуктун купуялуулук маселесине кызыгуусун арттырууга багытталган. акыркы окуялар болуп көрбөгөндөй актуалдуу болуп калат.

Күн тартибинде:

       Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
       «Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
       Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат

Эскерте кетсек, "Орто" деген эмне?

орто (Eng. орто - "ортомчу", оригиналдуу ураан - Купуялыгыңызды сурабаңыз. Кайра ал; англис тилинде да сөз орто "орто" дегенди билдирет) - тармакка кирүү кызматтарын көрсөткөн орусиялык борбордон ажыратылган интернет провайдери Yggdrasil акысыз.

Толук аты-жөнү: Орточо Интернет Провайдери. Башында долбоор катары иштелип чыккан Тор тармагы в Коломна шаардык району.

2019-жылдын апрелинде Wi-Fi зымсыз маалыматтарды берүү технологиясын колдонуу аркылуу акыркы колдонуучуларга Yggdrasil тармагынын ресурстарына жетүү менен көз карандысыз телекоммуникациялык чөйрөнү түзүүнүн алкагында түзүлгөн.

Больше информации по теме: «Всё, что вы хотели знать о децентрализованном интернет-провайдере «Medium», но боялись спросить»

Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок

Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.

Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Yggdrasil тармагындагы веб-кызматтарга туташуу үчүн HTTPSти колдонуунун кереги жок, эгер сиз аларга жергиликтүү Yggdrasil тармак роутери аркылуу туташсаңыз.

Чынында эле: Yggdrasil транспорту бирдей протокол жүргүзүү жөндөмдүүлүгү - коопсуз Yggdrasil тармагынын ичинде ресурстарды пайдаланууга мүмкүндүк берет MITM чабуулдары толугу менен алынып салынган.

Эгер сиз Yggdarsilдин интранет ресурстарына түздөн-түз эмес, ортодогу түйүн - анын оператору тарабынан башкарылуучу Орто тармакка кирүү чекити аркылуу кирсеңиз, кырдаал түп-тамырынан өзгөрөт.

Бул учурда, сиз өткөрүп жаткан маалыматтарды ким бузушу мүмкүн:

Кирүү чекитинин оператору. Орто тармакка кирүү чекитинин учурдагы оператору анын жабдуулары аркылуу өткөн шифрленбеген трафикти тыңшай алаары айдан ачык.
кирүүчү (ортодогу адам). Ортодо ушуга окшош көйгөй бар Tor тармагындагы көйгөй, киргизүү жана аралык түйүндөргө карата гана.

Бул көрүнүш мына мындай

чечим: Yggdrasil тармагындагы желе кызматтарына кирүү үчүн HTTPS протоколун колдонуңуз (деңгээл 7 OSI моделдери). Маселе, Yggdrasil тармактык кызматтары үчүн чыныгы коопсуздук сертификатын кадимки жол менен берүү мүмкүн эмес. Кел код.

Ошондуктан, биз өзүбүздүн сертификаттоо борборун түздүк - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».

Тастыктоочу органдын түпкү сертификатын бузуу мүмкүнчүлүгү, албетте, эске алынган - бирок бул жерде сертификат маалыматтарды берүүнүн бүтүндүгүн тастыктоо жана MITM чабуулдарынын мүмкүнчүлүгүн жокко чыгаруу үчүн зарыл.

Ар кандай операторлордун орто тармактык кызматтары ар кандай коопсуздук сертификаттарына ээ, тигил же бул жол менен түпкү сертификаттоо органы тарабынан кол коюлган. Бирок, Root CA операторлору коопсуздук сертификаттарына кол койгон кызматтардан шифрленген трафикти тыңшай алышпайт (караңыз "КСЖ деген эмне?").

Өзүнүн коопсуздугуна өзгөчө тынчсыздангандар кошумча коргоо сыяктуу каражаттарды колдоно алышат, мисалы PGP и окшош.

Учурда Medium тармагынын ачык ачкыч инфраструктурасы протоколдун жардамы менен сертификаттын статусун текшерүү мүмкүнчүлүгүнө ээ. OCSP же пайдалануу аркылуу C.R.L..

пунктуна кел

колдонуучу @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».

Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.

Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.

Вы можете помочь развитию проекта, присоединившись к разработке на GitHub.

«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?

Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».

Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».

Как теперь выглядит цепочка доверия сертификатов?

Что необходимо сделать, чтобы всё заработало, если вы — пользователь:

Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.

Ал ошондой эле зарыл установить новый сертификат удостоверяющего центра «Medium Global Root CA».

Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:

Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).

Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат

В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.

Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.

В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.

Step 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана

openssl genrsa -out domain.ygg.key 2048

анда:

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Step 2. Создайте запрос на подпись сертификата

openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.conf

Файлдын мазмуну domain.ygg.conf:

[ req ]
default_bits                = 2048
distinguished_name          = req_distinguished_name
x509_extensions             = v3_req

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = RU
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName                = Locality Name (eg, city)
localityName_default        = Kolomna
organizationName            = Organization Name (eg, company)
organizationName_default    = ACME, Inc.
commonName                  = Common Name (eg, YOUR name)
commonName_max              = 64
commonName_default          = *.domain.ygg

[ v3_req ]
subjectKeyIdentifier        = hash
keyUsage                    = critical, digitalSignature, keyEncipherment
extendedKeyUsage            = serverAuth
basicConstraints            = CA:FALSE
nsCertType                  = server
authorityKeyIdentifier      = keyid,issuer:always
crlDistributionPoints       = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess         = OCSP;URI:http://ocsp.medium.isp

Step 3. Отправьте запрос на получение сертификата

Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.

Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.

Step 4. Настройте ваш веб-сервер

Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:

билэ domain.ygg.conf каталогдо /etc/nginx/sites-available/

server {
    listen [::]:80;
    listen [::]:443 ssl;

    root /var/www/domain.ygg;
    index index.php index.html index.htm index.nginx-debian.html;

    server_name domain.ygg;

    include snippets/domain.ygg.conf;
    include snippets/ssl-params.conf;

    location = /favicon.ico { log_not_found off; access_log off; }
    location = /robots.txt { log_not_found off; access_log off; allow all; }
    location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
        expires max;
        log_not_found off;
    }

    location / {
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ .php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

    location ~ /.ht {
        deny all;
    }
}

билэ ssl-params.conf каталогдо /etc/nginx/snippets/

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

билэ domain.ygg.conf каталогдо /etc/nginx/snippets/

ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;

Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.

Step 5. Перезапустите ваш веб-сервер

sudo service nginx restart

Россияда бекер интернет сизден башталат

Сиз бүгүн Россияда бекер интернетти орнотууга бардык жардамды көрсөтө аласыз. Биз тармакка кантип жардам бере аларыңыздын толук тизмесин түздүк:

Досторуңузга жана кесиптештериңизге Medium тармагы жөнүндө айтыңыз. Бөлүшүү байланыш Бул макалага коомдук тармактарда же жеке блогдо
Medium тармагынын техникалык маселелерин талкуулоого катышыңыз GitHub боюнча
Yggdrasil тармагында веб кызматыңызды түзүп, аны кошуңуз Орто тармактын DNS
Өзүңүздү көтөрүңүз кирүү чекити Орто тармакка

Мурунку чыгарылыштары:

   Орточо жумалык дайджест №1 (12 – 19-июль, 2019-ж.)
   Орточо жумалык дайджест №2 (19 – 26-июль, 2019-ж.)
   Орточо апталык дайджест №3 (26-июль – 2-август, 2019-ж.)
   Орточо жумалык дайджест №4 (2-жылдын 9-2019-августу)

Ошондой эле, караныз:

Борборлоштурулган Medium интернет провайдери жөнүндө билгиңиз келгендин баары, бирок суроодон корктуңуз
Жаным, биз интернетти өлтүрүп жатабыз
Борборлоштурулган Интернет-провайдери "Орто" - үч айдан кийин

Биз Telegramда: @medium_isp

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

Альтернативдик добуш берүү: биз үчүн Хабре боюнча толук эсеби жоктордун пикирин билүү маанилүү

7 колдонуучу добуш берди. 2 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com

Орточо жумалык дайджест №5 (9-жылдын 16-2019-августу)