Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Едвард Сноуден
Овој дигест има за цел да го зголеми интересот на Заедницата за прашањето на приватноста, што, во светло на најнови настани станува порелевантен од кога било досега.
На дневен ред:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Потсети ме - што е „Среден“?
Медиум (Македонски Медиум - „посредник“, оригинален слоган - Не барајте ја вашата приватност. Земи го назад; исто така на англиски зборот среден значи „средно“) - руски децентрализиран интернет провајдер кој обезбедува услуги за пристап до мрежата Yggdrasil бесплатно.
Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Нема потреба да користите HTTPS за да се поврзете со веб-услуги на мрежата Yggdrasil ако се поврзете со нив преку локално активиран мрежен рутер Yggdrasil.
Навистина: транспортот на Yggdrasil е на исто ниво протокол ви овозможува безбедно да ги користите ресурсите во рамките на мрежата Yggdrasil - способност за спроведување MITM напади целосно исклучени.
Ситуацијата радикално се менува ако пристапите до ресурсите на интранет на Yggdarsil не директно, туку преку среден јазол - точката за пристап до мрежата средна, која ја администрира неговиот оператор.
Во овој случај, кој може да ги загрози податоците што ги пренесувате:
Оператор на пристапна точка. Очигледно е дека сегашниот оператор на пристапната точка на мрежата Медиум може да прислушува нешифриран сообраќај што минува низ неговата опрема.
Решение: за пристап до веб-услуги во рамките на мрежата Yggdrasil, користете го протоколот HTTPS (ниво 7 OSI модели). Проблемот е што не е можно да се издаде оригинален безбедносен сертификат за мрежните услуги на Yggdrasil преку конвенционални средства како што се Ајде да шифрираме.
Затоа, основавме сопствен центар за сертификација - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Се разбира, беше земена предвид можноста за загрозување на коренскиот сертификат на сертификациониот орган - но овде сертификатот е понеопходен за да се потврди интегритетот на преносот на податоците и да се елиминира можноста за MITM напади.
Услугите за средна мрежа од различни оператори имаат различни безбедносни сертификати, на еден или друг начин потпишани од органот за сертификација на root. Сепак, Root CA операторите не можат да го прислушуваат шифрираниот сообраќај од услугите на кои потпишале безбедносни сертификати (види „Што е ООП?).
Оние кои се особено загрижени за својата безбедност можат да користат такви средства како дополнителна заштита, како на пр PGP и слично.
Во моментов, инфраструктурата со јавен клуч на мрежата Medium има можност да го провери статусот на сертификатот користејќи го протоколот OCSP или преку употреба Ц.Р.Л..
Дојдете до поентата
Корисник @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Чекор 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Чекор 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Чекор 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
датотека domain.ygg.conf во именикот /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Чекор 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Бесплатниот интернет во Русија започнува со вас
Можете да ја обезбедите сета можна помош за воспоставување бесплатен Интернет во Русија денес. Составивме сеопфатна листа за тоа како точно можете да и помогнете на мрежата:
Кажете им на вашите пријатели и колеги за мрежата Медиум. Споделете референца на оваа статија на социјалните мрежи или личниот блог
Учествувајте во дискусијата за технички прашања на мрежата Медиум на GitHub
Направете ја вашата веб-услуга на мрежата Yggdrasil и додајте ја на DNS на мрежата Medium