Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
ບົດສະຫຼຸບນີ້ແມ່ນມີຈຸດປະສົງເພື່ອເພີ່ມຄວາມສົນໃຈຂອງຊຸມຊົນໃນບັນຫາຄວາມເປັນສ່ວນຕົວ, ເຊິ່ງໃນແງ່ຂອງ ກາຍເປັນຄວາມກ່ຽວຂ້ອງຫຼາຍກວ່າແຕ່ກ່ອນ.
ໃນວາລະ:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
ເຕືອນຂ້ອຍ - "ຂະຫນາດກາງ" ແມ່ນຫຍັງ?
ຂະຫນາດກາງ (Eng ຂະຫນາດກາງ - "ຕົວກາງ", ຄໍາຂວັນຕົ້ນສະບັບ - ຢ່າຮ້ອງຂໍຄວາມເປັນສ່ວນຕົວຂອງເຈົ້າ. ເອົາມັນຄືນ; ຍັງຢູ່ໃນພາສາອັງກິດຄໍາສັບ ຂະຫນາດກາງ ຫມາຍຄວາມວ່າ "ປານກາງ") - ຜູ້ໃຫ້ບໍລິການອິນເຕີເນັດແບບກະຈາຍຂອງລັດເຊຍທີ່ສະຫນອງການບໍລິການເຂົ້າເຖິງເຄືອຂ່າຍ ຟຣີ.
ຊື່ເຕັມ: ຜູ້ໃຫ້ບໍລິການອິນເຕີເນັດຂະຫນາດກາງ. ໃນເບື້ອງຕົ້ນໂຄງການແມ່ນ conceived ເປັນ в .
ສ້າງຕັ້ງຂຶ້ນໃນເດືອນເມສາ 2019 ເປັນສ່ວນຫນຶ່ງຂອງການສ້າງສະພາບແວດລ້ອມໂທລະຄົມນາຄົມເອກະລາດໂດຍການໃຫ້ຜູ້ໃຊ້ສຸດທ້າຍເຂົ້າເຖິງຊັບພະຍາກອນເຄືອຂ່າຍ Yggdrasil ຜ່ານການນໍາໃຊ້ເຕັກໂນໂລຊີການສົ່ງຂໍ້ມູນໄຮ້ສາຍ Wi-Fi.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?ບໍ່ຈໍາເປັນຕ້ອງໃຊ້ HTTPS ເພື່ອເຊື່ອມຕໍ່ກັບການບໍລິການເວັບໃນເຄືອຂ່າຍ Yggdrasil ຖ້າທ່ານເຊື່ອມຕໍ່ກັບພວກເຂົາໂດຍຜ່ານ router ເຄືອຂ່າຍ Yggdrasil ທີ່ເຮັດວຽກຢູ່ໃນທ້ອງຖິ່ນ.
ແທ້ຈິງແລ້ວ: ການຂົນສົ່ງ Yggdrasil ແມ່ນເທົ່າກັບ ອະນຸຍາດໃຫ້ທ່ານນໍາໃຊ້ຊັບພະຍາກອນຢ່າງປອດໄພພາຍໃນເຄືອຂ່າຍ Yggdrasil - ຄວາມສາມາດໃນການດໍາເນີນການ ຖືກຍົກເວັ້ນຢ່າງສົມບູນ.
ສະຖານະການປ່ຽນແປງຢ່າງໃຫຍ່ຫຼວງຖ້າທ່ານເຂົ້າເຖິງຊັບພະຍາກອນ intranet ຂອງ Yggdarsil ບໍ່ແມ່ນໂດຍກົງ, ແຕ່ຜ່ານໂຫນດກາງ - ຈຸດເຊື່ອມຕໍ່ເຄືອຂ່າຍຂະຫນາດກາງ, ເຊິ່ງຄຸ້ມຄອງໂດຍຜູ້ປະກອບການຂອງມັນ.
ໃນກໍລະນີນີ້, ໃຜສາມາດປະນີປະນອມຂໍ້ມູນທີ່ທ່ານສົ່ງ:
- ຕົວປະຕິບັດການຈຸດເຂົ້າເຖິງ. ມັນເປັນທີ່ຊັດເຈນວ່າຜູ້ປະຕິບັດການໃນປະຈຸບັນຂອງຈຸດເຂົ້າເຖິງເຄືອຂ່າຍຂະຫນາດກາງສາມາດ eavesdrop ກ່ຽວກັບການຈະລາຈອນທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດທີ່ຜ່ານອຸປະກອນຂອງມັນ.
- ຜູ້ບຸກລຸກ (). ຂະຫນາດກາງມີບັນຫາທີ່ຄ້າຍຄືກັນກັບ , ພຽງແຕ່ກ່ຽວກັບການປ້ອນຂໍ້ມູນແລະຂໍ້ປານກາງ.
ນີ້ແມ່ນສິ່ງທີ່ມັນຄ້າຍຄື
ການຕັດສິນໃຈ: ເພື່ອເຂົ້າເຖິງການບໍລິການເວັບພາຍໃນເຄືອຂ່າຍ Yggdrasil, ໃຫ້ໃຊ້ HTTPS protocol (ລະດັບ 7 ). ບັນຫາແມ່ນວ່າມັນບໍ່ສາມາດອອກໃບຢັ້ງຢືນຄວາມປອດໄພທີ່ແທ້ຈິງສໍາລັບການບໍລິການເຄືອຂ່າຍ Yggdrasil ໂດຍຜ່ານວິທີການທໍາມະດາເຊັ່ນ: .
ດັ່ງນັ້ນ, ພວກເຮົາໄດ້ສ້າງຕັ້ງສູນການຢັ້ງຢືນຂອງພວກເຮົາເອງ - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
ຄວາມເປັນໄປໄດ້ຂອງການປະນີປະນອມໃບຢັ້ງຢືນຮາກຂອງເຈົ້າຫນ້າທີ່ການຢັ້ງຢືນແມ່ນ, ແນ່ນອນ, ໄດ້ພິຈາລະນາ - ແຕ່ໃນທີ່ນີ້ໃບຢັ້ງຢືນແມ່ນມີຄວາມຈໍາເປັນຫຼາຍກວ່າເກົ່າເພື່ອຢືນຢັນຄວາມສົມບູນຂອງການສົ່ງຂໍ້ມູນແລະລົບລ້າງຄວາມເປັນໄປໄດ້ຂອງການໂຈມຕີ MITM.
ການບໍລິການເຄືອຂ່າຍຂະຫນາດກາງຈາກຜູ້ປະກອບການທີ່ແຕກຕ່າງກັນມີໃບຢັ້ງຢືນຄວາມປອດໄພທີ່ແຕກຕ່າງກັນ, ວິທີການຫນຶ່ງຫຼືອື່ນທີ່ລົງນາມໂດຍອໍານາດການຢັ້ງຢືນຮາກ. ຢ່າງໃດກໍຕາມ, ຜູ້ປະກອບການ Root CA ບໍ່ສາມາດທີ່ຈະຟັງການຈາລະຈອນທີ່ຖືກເຂົ້າລະຫັດຈາກການບໍລິການທີ່ພວກເຂົາໄດ້ເຊັນໃບຢັ້ງຢືນຄວາມປອດໄພ (ເບິ່ງ. ).
ຜູ້ທີ່ມີຄວາມກັງວົນໂດຍສະເພາະກ່ຽວກັບຄວາມປອດໄພຂອງເຂົາເຈົ້າສາມາດນໍາໃຊ້ວິທີການດັ່ງກ່າວເປັນການປົກປ້ອງເພີ່ມເຕີມ, ເຊັ່ນ: и .
ໃນປັດຈຸບັນ, ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນສາທາລະນະຂອງເຄືອຂ່າຍຂະຫນາດກາງມີຄວາມສາມາດໃນການກວດສອບສະຖານະຂອງໃບຢັ້ງຢືນໂດຍໃຊ້ໂປໂຕຄອນ ຫຼືຜ່ານການນໍາໃຊ້ .
ໄປຮອດຈຸດ
ຜູ້ໃຊ້ начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и ggg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
ມັນຍັງມີຄວາມຈໍາເປັນ удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
ຂັ້ນຕອນ 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048ຫຼັງຈາກນັ້ນ:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048ຂັ້ນຕອນ 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confເນື້ອໃນໄຟລ໌ domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
ຂັ້ນຕອນ 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
ຂັ້ນຕອນ 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
ເອກະສານ domain.ygg.conf ໃນລະບົບ /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
ເອກະສານ ssl-params.conf ໃນລະບົບ /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ເອກະສານ domain.ygg.conf ໃນລະບົບ /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
ຂັ້ນຕອນ 5. Перезапустите ваш веб-сервер
sudo service nginx restartອິນເຕີເນັດຟຣີໃນລັດເຊຍເລີ່ມຕົ້ນກັບທ່ານ
ທ່ານສາມາດສະຫນອງການຊ່ວຍເຫຼືອທີ່ເປັນໄປໄດ້ທັງຫມົດໃນການສ້າງຕັ້ງອິນເຕີເນັດຟຣີໃນລັດເຊຍໃນມື້ນີ້. ພວກເຮົາໄດ້ລວບລວມບັນຊີລາຍຊື່ທີ່ສົມບູນແບບຂອງວິທີທີ່ເຈົ້າສາມາດຊ່ວຍເຄືອຂ່າຍໄດ້:
- ບອກໝູ່ເພື່ອນ ແລະເພື່ອນຮ່ວມງານຂອງທ່ານກ່ຽວກັບເຄືອຂ່າຍຂະໜາດກາງ. ແບ່ງປັນ ກັບບົດຄວາມນີ້ກ່ຽວກັບເຄືອຂ່າຍສັງຄົມຫຼື blog ສ່ວນບຸກຄົນ
- ເຂົ້າຮ່ວມການສົນທະນາກ່ຽວກັບບັນຫາດ້ານວິຊາການໃນເຄືອຂ່າຍຂະຫນາດກາງ
- ສ້າງການບໍລິການເວັບໄຊຕ໌ຂອງທ່ານໃນເຄືອຂ່າຍ Yggdrasil ແລະເພີ່ມມັນໃສ່
- ຍົກສູງບົດບາດຂອງທ່ານ ກັບເຄືອຂ່າຍຂະຫນາດກາງ
ສະບັບທີ່ຜ່ານມາ:
ອ່ານຍັງ:
ພວກເຮົາຢູ່ໃນ Telegram:
ພຽງແຕ່ຜູ້ໃຊ້ລົງທະບຽນສາມາດເຂົ້າຮ່ວມໃນການສໍາຫຼວດ. ກະລຸນາ.
ການລົງຄະແນນສຽງທາງເລືອກ: ມັນເປັນສິ່ງສໍາຄັນສໍາລັບພວກເຮົາທີ່ຈະຮູ້ຄວາມຄິດເຫັນຂອງຜູ້ທີ່ບໍ່ມີບັນຊີເຕັມທີ່ກ່ຽວກັບHabre.
-
↑
-
↓
7 ຜູ້ໃຊ້ລົງຄະແນນສຽງ. 2 ຜູ້ໃຊ້ງົດ.
ແຫຼ່ງຂໍ້ມູນ: www.habr.com