Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Ity digest ity dia natao hampitomboana ny fahalianan'ny Vondrona eo amin'ny resaka fiainana manokana, izay, raha jerena ny hetsika farany lasa manan-danja kokoa noho ny teo aloha.
Ao amin'ny fandaharam-potoana:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Ampahatsiahivo aho - inona no atao hoe "Medium"?
Medium (Eng. Medium - “mpanelanelana”, teny filamatra tany am-boalohany - Aza manontany ny fiainanao manokana. Ento miverina; koa amin'ny teny anglisy antonony midika hoe “mpanelanelana”) - mpanome Aterineto ivondronan'i Rosia manome tolotra fidirana amin'ny tambajotra Yggdrasil maimaim-poana.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Tsy ilaina ny mampiasa HTTPS mba hifandraisana amin'ny serivisy tranonkala amin'ny tambajotra Yggdrasil raha mifandray amin'izy ireo amin'ny alàlan'ny router tambajotra Yggdrasil eo an-toerana ianao.
Eny tokoa: Ny fitaterana Yggdrasil dia mitovy fifanarahana mamela anao hampiasa soa aman-tsara loharanon-karena ao amin'ny tambajotra Yggdrasil - ny fahafahana mitondra fanafihana MITM voahilika tanteraka.
Miova tanteraka ny toe-draharaha raha tsy miditra mivantana amin'ny loharanon'ny intranet Yggdarsil ianao, fa amin'ny alàlan'ny node mpanelanelana - ny teboka fidirana amin'ny tambajotra Medium, izay tantanin'ny mpandraharaha azy.
Amin'ity tranga ity, iza no afaka mampandefitra ny angona ampitainao:
Opérateur de access point. Miharihary fa ny mpandraharaha amin'izao fotoana izao amin'ny teboka fidirana amin'ny tambajotra Medium dia afaka mihaino ny fifamoivoizana tsy misy miafina izay mandalo amin'ny fitaovany.
fanapahan-kevitra: hidirana amin'ny serivisy tranonkala ao anatin'ny tambajotra Yggdrasil, ampiasao ny protocol HTTPS (ambaratonga 7 Modely OSI). Ny olana dia tsy azo atao ny mamoaka taratasy fanamarinana fiarovana marina ho an'ny serivisy tambajotra Yggdrasil amin'ny alàlan'ny fomba mahazatra toy ny Andao isika hamehy.
Noho izany dia nanangana foibe fanamarinana manokana izahay - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Mazava ho azy fa noraisina ny mety hampandefitra ny fanamarinana fototry ny fahefana fanamarinana - fa eto ny taratasy fanamarinana dia ilaina kokoa mba hanamafisana ny fahamendrehan'ny fifindran'ny data ary hanafoana ny mety hisian'ny fanafihana MITM.
Ny serivisy tambajotra antonony avy amin'ny mpandraharaha samihafa dia manana mari-pankasitrahana fiarovana samihafa, fomba iray na hafa nosoniavin'ny manampahefana fanamarinana faka. Na izany aza, ny mpandraharaha Root CA dia tsy afaka mihaino ny fifamoivoizana voatahiry avy amin'ny serivisy izay nanasoniany ny mari-pamantarana fiarovana (jereo “Inona no atao hoe CSR?”).
Ireo izay miahiahy manokana momba ny fiarovana azy ireo dia afaka mampiasa fitaovana toy ny fiarovana fanampiny, toy ny PGP и similar.
Amin'izao fotoana izao, ny fotodrafitrasa fototra ho an'ny daholobe amin'ny tambajotra Medium dia afaka manamarina ny satan'ny taratasy fanamarinana amin'ny alàlan'ny protocol OCSP na amin'ny alalan'ny fampiasana C.R.L..
Akaiky ilay fotoana
User @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Dingana 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Dingana 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Dingana 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
rakitra domain.ygg.conf ao amin'ny lahatahiry /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Dingana 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Manomboka aminao ny Internet maimaim-poana any Rosia
Azonao atao ny manome ny fanampiana rehetra azo atao amin'ny fananganana Internet maimaim-poana any Rosia ankehitriny. Nanangona lisitra feno momba ny fomba ahafahanao manampy ny tambajotra izahay:
Lazao ny namanao sy ny mpiara-miasa aminao momba ny tambajotra Medium. anjara rohy amin'ity lahatsoratra ity amin'ny tambajotra sosialy na bilaogy manokana
Mandraisa anjara amin'ny adihevitra momba ny olana ara-teknika amin'ny tambajotra Medium amin'ny GitHub