Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Dës Verdauung soll den Interessi vun der Communautéit an der Fro vun der Privatsphär erhéijen, déi am Liicht vun lescht Evenementer gëtt méi relevant wéi jee virdrun.
Um Ordre du jour:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Erënnert mech - wat ass "Medium"?
mëttel- (Eng. mëttel- - "Tëschestatioun", original Slogan - Frot net fir Är Privatsphär. Huelt et zréck; och op Englesch d'Wuert mëttel- heescht "Zwëschenzäit") - e russesche dezentraliséierten Internet-Provider deen Netzzougang Servicer ubitt Yggdrasil gratis.
Gegrënnt am Abrëll 2019 als Deel vun der Schafung vun engem onofhängege Telekommunikatiounsëmfeld andeems d'Endbenotzer Zougang zu Yggdrasil Netzwierkressourcen duerch d'Benotzung vun Wi-Fi drahtlose Dateniwwerdroungstechnologie ubidden.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Et ass net néideg HTTPS ze benotzen fir mat Webservicer am Yggdrasil Netzwierk ze verbannen wann Dir mat hinnen duerch e lokalt lafenden Yggdrasil Netzwierk Router verbënnt.
Tatsächlech: Yggdrasil Transport ass op Par Protokoll erlaabt Iech sécher Ressourcen am Yggdrasil Netzwierk ze benotzen - d'Fäegkeet ze féieren MITM Attacken komplett ausgeschloss.
D'Situatioun ännert sech radikal wann Dir op Yggdarsil's Intranetressourcen net direkt zougräift, awer duerch en Zwëschennode - de Medium Network Access Point, dee vu sengem Bedreiwer verwalt gëtt.
An dësem Fall, wien kann d'Donnéeën déi Dir vermëttelt kompromittéieren:
Zougang Punkt Bedreiwer. Et ass offensichtlech datt den aktuelle Bedreiwer vum Medium Network Access Point den onverschlësselte Verkéier oflauschtere kann, deen duerch seng Ausrüstung passéiert.
Decisioun: Fir Zougang zu Webservicer am Yggdrasil Netzwierk ze benotzen, benotzt den HTTPS Protokoll (Niveau 7 OSI Modeller). De Problem ass datt et net méiglech ass en echt Sécherheetszertifika fir Yggdrasil Netzwierkservicer duerch konventionell Mëttelen z.B. Loosst eis encryptéieren.
Dofir hu mir eisen eegenen Zertifizéierungszentrum gegrënnt - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
D'Méiglechkeet fir de Rootzertifika vun der Zertifizéierungsautoritéit ze kompromittéieren gouf natierlech berücksichtegt - awer hei ass den Zertifika méi néideg fir d'Integritéit vun der Dateniwwerdroung ze bestätegen an d'Méiglechkeet vu MITM Attacken ze eliminéieren.
Medium Netzwierkservicer vu verschiddene Betreiber hu verschidde Sécherheetszertifikater, déi eng oder aner Manéier vun der Root Zertifizéierungsautoritéit ënnerschriwwen. Wéi och ëmmer, Root CA Bedreiwer kënnen net verschlësselte Verkéier vu Servicer oflauschteren, op déi se Sécherheetszertifikater ënnerschriwwen hunn (kuckt "Wat ass CSR?").
Déi, déi besonnesch ëm hir Sécherheet besuergt sinn, kënnen esou Mëttelen wéi zousätzleche Schutz benotzen, wéi z.B PGP и ähnlech.
De Moment huet d'ëffentlech Schlësselinfrastruktur vum Medium Netz d'Fäegkeet fir de Status vun engem Zertifika mam Protokoll ze kontrolléieren OCSP oder duerch Benotzung C.R.L..
Méi no un de Punkt
Benotzer @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Schrëtt 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Schrëtt 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Schrëtt 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
Fichier domain.ygg.conf am Verzeechnes /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Schrëtt 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Gratis Internet a Russland fänkt mat Iech un
Dir kënnt all méiglech Hëllef fir d'Grënnung vun engem gratis Internet an Russland haut. Mir hunn eng ëmfaassend Lëscht zesummegestallt vu genau wéi Dir de Reseau hëllefe kënnt:
Sot Äre Frënn a Kollegen iwwer de Medium Netzwierk. Deelen duerch Referenz zu dësem Artikel op sozialen Netzwierker oder perséinlech Blog
Maacht mat bei der Diskussioun iwwer technesch Themen am Medium Netzwierk op GitHub