Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edvardas Snoudenas
Šiuo santrauku siekiama padidinti Bendrijos susidomėjimą privatumo klausimu, kuris, atsižvelgiant į tampa aktualesnis nei bet kada anksčiau.
Darbotvarkėje:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Priminkite man – kas yra „vidutinė“?
vidutinis (Anglų k. vidutinis - "tarpininkas", originalus šūkis - Neprašykite savo privatumo. Atsiimk; taip pat angliškai žodis vidutinis reiškia „tarpinis“) – Rusijos decentralizuotas interneto tiekėjas, teikiantis tinklo prieigos paslaugas Nemokamas.
Visas vardas: vidutinis interneto paslaugų teikėjas. Iš pradžių projektas buvo sumanytas kaip в .
Sukurta 2019 m. balandžio mėn., kuriant nepriklausomą telekomunikacijų aplinką, suteikiant galutiniams vartotojams prieigą prie „Yggdrasil“ tinklo išteklių naudojant „Wi-Fi“ belaidžio duomenų perdavimo technologiją.
Daugiau informacijos šia tema:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Nereikia naudoti HTTPS norint prisijungti prie žiniatinklio paslaugų Yggdrasil tinkle, jei prie jų prisijungiate per vietinį Yggdrasil tinklo maršruto parinktuvą.
Iš tiesų: „Yggdrasil“ transportas yra lygus leidžia saugiai naudoti išteklius Yggdrasil tinkle – gebėjimas atlikti visiškai pašalintas.
Situacija kardinaliai pasikeičia, jei prie „Yggdarsil“ intraneto išteklių prisijungiate ne tiesiogiai, o per tarpinį mazgą – „Medium“ tinklo prieigos tašką, kurį administruoja jo operatorius.
Tokiu atveju, kas gali pažeisti jūsų perduodamus duomenis:
- Prieigos taško operatorius. Akivaizdu, kad dabartinis „Medium“ tinklo prieigos taško operatorius gali klausytis nešifruoto srauto, kuris praeina per jo įrangą.
- įsibrovėlis (). Vidutinė turi panašią problemą , tik įvesties ir tarpinių mazgų atžvilgiu.
Štai kaip atrodo
sprendimas: norėdami pasiekti žiniatinklio paslaugas Yggdrasil tinkle, naudokite HTTPS protokolą (7 lygis ). Problema ta, kad neįmanoma išduoti autentiško saugumo sertifikato Yggdrasil tinklo paslaugoms įprastomis priemonėmis, pvz. .
Todėl įkūrėme savo sertifikavimo centrą – . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Žinoma, buvo atsižvelgta į galimybę pažeisti sertifikavimo institucijos šakninį sertifikatą – tačiau čia sertifikatas labiau reikalingas duomenų perdavimo vientisumui patvirtinti ir MITM atakų tikimybei pašalinti.
Skirtingų operatorių vidutinio tinklo paslaugos turi skirtingus saugos sertifikatus, vienaip ar kitaip pasirašytus šakninės sertifikavimo institucijos. Tačiau Root CA operatoriai negali pasiklausyti šifruoto srauto iš paslaugų, kurioms jie pasirašė saugos sertifikatus (žr. ).
Tie, kurie ypač rūpinasi savo saugumu, gali naudoti tokias priemones kaip papildoma apsauga, pvz и .
Šiuo metu Medium tinklo viešojo rakto infrastruktūra turi galimybę patikrinti sertifikato būseną naudojant protokolą arba naudojant .
Eikite į esmę
Vartotojas начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Taip pat būtina удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Žingsnis 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Tada:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Žingsnis 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFailo turinys domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Žingsnis 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Žingsnis 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
byla domain.ygg.conf kataloge /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
byla ssl-params.conf kataloge /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
byla domain.ygg.conf kataloge /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Žingsnis 5. Перезапустите ваш веб-сервер
sudo service nginx restartNemokamas internetas Rusijoje prasideda nuo tavęs
Šiandien galite suteikti visą įmanomą pagalbą kuriant nemokamą internetą Rusijoje. Sudarėme išsamų sąrašą, kaip tiksliai galite padėti tinklui:
- Papasakokite savo draugams ir kolegoms apie „Medium“ tinklą. Dalintis į šį straipsnį socialiniuose tinkluose arba asmeniniame tinklaraštyje
- Dalyvaukite techninių problemų aptarime „Medium“ tinkle
- Sukurkite savo žiniatinklio paslaugą Yggdrasil tinkle ir pridėkite ją prie
- Pakelk savo į vidutinį tinklą
Ankstesni leidimai:
Taip pat žiūrėkite:
Mes telegramoje:
Apklausoje gali dalyvauti tik registruoti vartotojai. , Prašau.
Alternatyvus balsavimas: mums svarbu žinoti nuomonę tų, kurie neturi visos sąskaitos apie Habré
-
↑
-
↓
Balsavo 7 vartotojų. 2 vartotojai susilaikė.
Šaltinis: www.habr.com