Ringkasan Mingguan Sederhana #5 (9 – 16 Ogos 2019)
Kita mendengar frasa "keselamatan negara" sepanjang masa, tetapi apabila kerajaan mula memantau komunikasi kita, merekodkannya tanpa syak wasangka yang boleh dipercayai, asas undang-undang dan tanpa sebarang tujuan yang jelas, kita mesti bertanya kepada diri sendiri soalan: adakah mereka benar-benar melindungi keselamatan negara atau adakah mereka melindungi mereka sendiri?
- Edward Snowden
Ringkasan ini bertujuan untuk meningkatkan minat Komuniti dalam isu privasi, yang, berdasarkan peristiwa terkini menjadi lebih relevan berbanding sebelum ini.
Dalam agenda:
Peminat daripada komuniti penyedia Internet terpencar "Medium" sedang mencipta enjin carian mereka sendiri
Medium telah menubuhkan pihak berkuasa pensijilan baharu, Medium Global Root CA. Siapa yang akan terjejas oleh perubahan itu?
Sijil keselamatan untuk setiap rumah - cara membuat perkhidmatan anda sendiri pada rangkaian Yggdrasil dan mengeluarkan sijil SSL yang sah untuknya
Ingatkan saya - apakah itu "Sederhana"?
sederhana (Bahasa Inggeris sederhana - "perantara", slogan asal - Jangan minta privasi anda. Ambil balik; juga dalam bahasa Inggeris perkataan sederhana bermaksud “perantaraan”) - penyedia Internet terpencar Rusia yang menyediakan perkhidmatan akses rangkaian Yggdrasil percuma.
Dibentuk pada April 2019 sebagai sebahagian daripada penciptaan persekitaran telekomunikasi bebas dengan menyediakan pengguna akhir akses kepada sumber rangkaian Yggdrasil melalui penggunaan teknologi penghantaran data wayarles Wi-Fi.
Peminat daripada komuniti penyedia Internet terpencar "Medium" sedang mencipta enjin carian mereka sendiri
Asalnya dalam talian Yggdrasil, yang digunakan oleh penyedia perkhidmatan Internet terdesentralisasi Medium sebagai pengangkutan, tidak mempunyai pelayan DNS sendiri atau infrastruktur kunci awam - namun, keperluan untuk mengeluarkan sijil keselamatan untuk perkhidmatan rangkaian Medium menyelesaikan kedua-dua masalah ini.
Mengapa anda memerlukan PKI jika Yggdrasil di luar kotak menyediakan keupayaan untuk menyulitkan trafik antara rakan sebaya?Tidak perlu menggunakan HTTPS untuk menyambung ke perkhidmatan web pada rangkaian Yggdrasil jika anda menyambung kepada mereka melalui penghala rangkaian Yggdrasil yang dijalankan secara tempatan.
Sesungguhnya: Pengangkutan Yggdrasil adalah setanding protokol membolehkan anda menggunakan sumber dengan selamat dalam rangkaian Yggdrasil - keupayaan untuk menjalankan serangan MITM dikecualikan sepenuhnya.
Keadaan berubah secara radikal jika anda mengakses sumber intranet Yggdarsil bukan secara langsung, tetapi melalui nod perantaraan - pusat akses rangkaian Sederhana, yang ditadbir oleh pengendalinya.
Dalam kes ini, siapa yang boleh menjejaskan data yang anda hantar:
Pengendali pusat akses. Jelas sekali bahawa pengendali semasa pusat akses rangkaian Sederhana boleh mencuri dengar trafik tidak disulitkan yang melalui peralatannya.
keputusan: untuk mengakses perkhidmatan web dalam rangkaian Yggdrasil, gunakan protokol HTTPS (tahap 7 model OSI). Masalahnya ialah tidak mungkin mengeluarkan sijil keselamatan tulen untuk perkhidmatan rangkaian Yggdrasil melalui cara konvensional seperti Ayo Sulitkan.
Oleh itu, kami menubuhkan pusat pensijilan kami sendiri - "Akar Global Sederhana CA". Sebilangan besar perkhidmatan dalam rangkaian Medium ditandatangani oleh sijil keselamatan akar pihak berkuasa pensijilan perantaraan Pelayan Selamat Pengesahan Domain Sederhana CA.
Kemungkinan menjejaskan sijil akar pihak berkuasa pensijilan, sudah tentu, diambil kira - tetapi di sini sijil itu lebih diperlukan untuk mengesahkan integriti penghantaran data dan menghapuskan kemungkinan serangan MITM.
Perkhidmatan rangkaian sederhana daripada pengendali yang berbeza mempunyai sijil keselamatan yang berbeza, satu cara atau yang lain ditandatangani oleh pihak berkuasa pensijilan akar. Walau bagaimanapun, pengendali Root CA tidak dapat mencuri dengar trafik yang disulitkan daripada perkhidmatan yang mereka telah menandatangani sijil keselamatan (lihat “Apakah itu CSR?”).
Mereka yang amat mengambil berat tentang keselamatan mereka boleh menggunakan cara seperti perlindungan tambahan, seperti PGP и serupa.
Pada masa ini, infrastruktur utama awam rangkaian Medium mempunyai keupayaan untuk menyemak status sijil menggunakan protokol OCSP atau melalui penggunaan C.R.L..
Sampai ke intinya
Pengguna @NXShock mula membangunkan enjin carian untuk perkhidmatan web yang terletak di rangkaian Yggdrasil. Aspek penting ialah hakikat bahawa penentuan alamat IPv6 perkhidmatan semasa melakukan carian dijalankan dengan menghantar permintaan kepada pelayan DNS yang terletak di dalam rangkaian Medium.
TLD utama ialah .ygg. Kebanyakan nama domain mempunyai TLD ini, dengan dua pengecualian: .isp и .gg.
Enjin carian sedang dalam pembangunan, tetapi penggunaannya sudah boleh dilakukan hari ini - hanya layari laman web search.medium.isp.
Medium telah menubuhkan pihak berkuasa pensijilan baharu, Medium Global Root CA. Siapa yang akan terjejas oleh perubahan itu?
Semalam, ujian awam ke atas fungsi pusat pensijilan Medium Root CA telah selesai. Pada akhir ujian, ralat dalam pengendalian perkhidmatan infrastruktur kunci awam telah diperbetulkan dan sijil akar baharu pihak berkuasa pensijilan "Medium Global Root CA" telah dicipta.
Semua nuansa dan ciri PKI telah diambil kira - kini sijil CA baharu "Medium Global Root CA" akan dikeluarkan hanya sepuluh tahun kemudian (selepas tarikh tamat tempohnya). Kini sijil keselamatan hanya dikeluarkan oleh pihak berkuasa pensijilan perantaraan - contohnya, "CA Pelayan Selamat Pengesahan Domain Sederhana".
Apakah rupa rantaian amanah sijil sekarang?
Apa yang perlu dilakukan untuk semuanya berfungsi jika anda seorang pengguna:
Memandangkan sesetengah perkhidmatan menggunakan HSTS, sebelum menggunakan sumber rangkaian Sederhana, anda mesti memadamkan data daripada sumber intranet Sederhana. Anda boleh melakukan ini dalam tab Sejarah penyemak imbas anda.
Ia juga perlu pasang sijil baru pusat pensijilan "Medium Global Root CA".
Apa yang perlu dilakukan untuk menjadikan semuanya berfungsi jika anda seorang pengendali sistem:
Anda perlu mengeluarkan semula sijil untuk perkhidmatan anda pada halaman pki.medium.isp (perkhidmatan ini hanya tersedia pada rangkaian Medium).
Sijil keselamatan untuk setiap rumah - cara membuat perkhidmatan anda sendiri pada rangkaian Yggdrasil dan mengeluarkan sijil SSL yang sah untuknya
Disebabkan oleh pertumbuhan dalam bilangan perkhidmatan intranet pada rangkaian Medium, keperluan untuk mengeluarkan sijil keselamatan baharu dan mengkonfigurasi perkhidmatan mereka supaya mereka menyokong SSL telah meningkat.
Memandangkan Habr ialah sumber teknikal, dalam setiap ringkasan baharu, satu daripada item agenda akan mendedahkan ciri teknikal infrastruktur rangkaian Sederhana. Sebagai contoh, di bawah ialah arahan komprehensif untuk mengeluarkan sijil SSL untuk perkhidmatan anda.
Contoh akan menunjukkan nama domain domain.ygg, yang mesti digantikan dengan nama domain perkhidmatan anda.
Langkah 1. Hasilkan kunci peribadi dan parameter Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Langkah 3. Hantar permintaan sijil
Untuk melakukan ini, salin kandungan fail domain.ygg.csr dan tampalkannya ke dalam medan teks di tapak pki.medium.isp.
Ikut arahan yang diberikan pada tapak web, kemudian klik "Serah". Jika berjaya, mesej akan dihantar ke alamat e-mel yang anda tentukan yang mengandungi lampiran dalam bentuk sijil yang ditandatangani oleh pihak berkuasa pensijilan perantaraan.
Langkah 4. Sediakan pelayan web anda
Jika anda menggunakan nginx sebagai pelayan web anda, gunakan konfigurasi berikut:
fail domain.ygg.conf dalam direktori /etc/nginx/sites-available/
Sijil yang anda terima melalui e-mel mesti disalin ke: /etc/ssl/certs/domain.ygg.crt. Kunci peribadi (domain.ygg.key) letakkannya dalam direktori /etc/ssl/private/.
Langkah 5. Mulakan semula pelayan web anda
sudo service nginx restart
Internet percuma di Rusia bermula dengan anda
Anda boleh memberikan semua bantuan yang mungkin kepada penubuhan Internet percuma di Rusia hari ini. Kami telah menyusun senarai lengkap tentang cara anda boleh membantu rangkaian:
Beritahu rakan dan rakan sekerja anda tentang rangkaian Medium. Kongsi rujukan kepada artikel ini di rangkaian sosial atau blog peribadi
Mengambil bahagian dalam perbincangan isu teknikal pada rangkaian Medium pada GitHub
Cipta perkhidmatan web anda pada rangkaian Yggdrasil dan tambahkannya DNS rangkaian Medium
Angkat awak Pusat akses kepada rangkaian Sederhana