Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
Sākot no Edvards Snoudens
Šis kopsavilkums ir paredzēts, lai palielinātu Kopienas interesi par privātuma jautājumu, kas, ņemot vērā kļūst aktuālāka nekā jebkad agrāk.
Darba kārtībā:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Atgādināt man — kas ir “Vidējs”?
vidējs (Angļu vidējs - "starpnieks", oriģināls sauklis - Neprasiet savu privātumu. Ņemt to atpakaļ; arī angļu valodā vārds vidējs nozīmē "vidējs" - Krievijas decentralizēts interneta pakalpojumu sniedzējs, kas nodrošina tīkla piekļuves pakalpojumus bez maksas.
Pilns nosaukums: vidējs interneta pakalpojumu sniedzējs. Sākotnēji projekts tika iecerēts kā в .
Izveidota 2019. gada aprīlī kā daļa no neatkarīgas telekomunikāciju vides izveides, nodrošinot galalietotājiem piekļuvi Yggdrasil tīkla resursiem, izmantojot Wi-Fi bezvadu datu pārraides tehnoloģiju.
Vairāk informācijas par tēmu:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Nav nepieciešams izmantot HTTPS, lai izveidotu savienojumu ar tīmekļa pakalpojumiem Yggdrasil tīklā, ja izveidojat savienojumu ar tiem, izmantojot lokāli darbojošos Yggdrasil tīkla maršrutētāju.
Patiešām: Yggdrasil transports ir līdzvērtīgs ļauj droši izmantot resursus Yggdrasil tīklā - spēja vadīt pilnībā izslēgts.
Situācija radikāli mainās, ja piekļūstat Yggdarsil iekštīkla resursiem nevis tieši, bet caur starpmezglu - Medium tīkla piekļuves punktu, kuru administrē tā operators.
Šajā gadījumā, kas var apdraudēt jūsu pārsūtītos datus:
- Piekļuves punkta operators. Ir acīmredzams, ka pašreizējais Medium tīkla piekļuves punkta operators var noklausīties nešifrētu trafiku, kas iet caur tā aprīkojumu.
- iebrucējs (). Vidējai problēmai ir līdzīga problēma , tikai attiecībā uz ievades un starpmezgliem.
Tas izskatās šādi
Šķīdums: lai piekļūtu tīmekļa pakalpojumiem Yggdrasil tīklā, izmantojiet HTTPS protokolu (7. līmenis ). Problēma ir tā, ka Yggdrasil tīkla pakalpojumiem nav iespējams izsniegt īstu drošības sertifikātu, izmantojot tādus parastos līdzekļus kā, piemēram, .
Tāpēc mēs izveidojām savu sertifikācijas centru - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Protams, tika ņemta vērā iespēja kompromitēt sertifikācijas iestādes saknes sertifikātu - taču šeit sertifikāts ir vairāk nepieciešams, lai apstiprinātu datu pārraides integritāti un novērstu MITM uzbrukumu iespējamību.
Vidēja tīkla pakalpojumiem no dažādiem operatoriem ir dažādi drošības sertifikāti, kurus vienā vai otrā veidā parakstījusi saknes sertifikācijas iestāde. Tomēr saknes CA operatori nevar noklausīties šifrētu trafiku no pakalpojumiem, kuriem viņi ir parakstījuši drošības sertifikātus (sk. ).
Tie, kas īpaši rūpējas par savu drošību, var izmantot tādus līdzekļus kā papildu aizsardzība, piemēram и .
Pašlaik Medium tīkla publiskās atslēgas infrastruktūrai ir iespēja pārbaudīt sertifikāta statusu, izmantojot protokolu vai izmantojot .
Nonāc pie lietas
Lietotājs начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Tas arī ir nepieciešams удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Solis 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Pēc tam:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Solis 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFaila saturs domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Solis 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Solis 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
fails domain.ygg.conf direktorijā /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fails ssl-params.conf direktorijā /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fails domain.ygg.conf direktorijā /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Solis 5. Перезапустите ваш веб-сервер
sudo service nginx restartBezmaksas internets Krievijā sākas ar jums
Šodien jūs varat sniegt visu iespējamo palīdzību bezmaksas interneta izveidei Krievijā. Mēs esam izveidojuši visaptverošu sarakstu ar to, kā tieši jūs varat palīdzēt tīklam:
- Pastāstiet draugiem un kolēģiem par tīklu Medium. Dalīties uz šo rakstu sociālajos tīklos vai personīgajā emuārā
- Piedalieties diskusijā par tehniskajiem jautājumiem Medium tīklā
- Izveidojiet savu tīmekļa pakalpojumu Yggdrasil tīklā un pievienojiet to
- Paceliet savu uz Medium tīklu
Iepriekšējie izlaidumi:
Skatīt arī:
Mēs telegrammā:
Aptaujā var piedalīties tikai reģistrēti lietotāji. , lūdzu.
Alternatīva balsošana: mums ir svarīgi zināt to cilvēku viedokli, kuriem nav pilna konta par Habré
-
↑
-
↓
Nobalsoja 7 lietotāji. 2 lietotāji atturējās.
Avots: www.habr.com