Kita mendengar frasa "keselamatan negara" sepanjang masa, tetapi apabila kerajaan mula memantau komunikasi kita, merekodkannya tanpa syak wasangka yang boleh dipercayai, asas undang-undang dan tanpa sebarang tujuan yang jelas, kita mesti bertanya kepada diri sendiri soalan: adakah mereka benar-benar melindungi keselamatan negara atau adakah mereka melindungi mereka sendiri?
- Edward Snowden
Ringkasan ini bertujuan untuk meningkatkan minat Komuniti dalam isu privasi, yang, berdasarkan menjadi lebih relevan berbanding sebelum ini.
Dalam agenda:
Peminat daripada komuniti penyedia Internet terpencar "Medium" sedang mencipta enjin carian mereka sendiri
Medium telah menubuhkan pihak berkuasa pensijilan baharu, Medium Global Root CA. Siapa yang akan terjejas oleh perubahan itu?
Sijil keselamatan untuk setiap rumah - cara membuat perkhidmatan anda sendiri pada rangkaian Yggdrasil dan mengeluarkan sijil SSL yang sah untuknya
Ingatkan saya - apakah itu "Sederhana"?
sederhana (Bahasa Inggeris sederhana - "perantara", slogan asal - Jangan minta privasi anda. Ambil balik; juga dalam bahasa Inggeris perkataan sederhana bermaksud “perantaraan”) - penyedia Internet terpencar Rusia yang menyediakan perkhidmatan akses rangkaian percuma.
Nama penuh: Penyedia Perkhidmatan Internet Sederhana. Pada mulanya projek itu difikirkan sebagai в .
Dibentuk pada April 2019 sebagai sebahagian daripada penciptaan persekitaran telekomunikasi bebas dengan menyediakan pengguna akhir akses kepada sumber rangkaian Yggdrasil melalui penggunaan teknologi penghantaran data wayarles Wi-Fi.
Maklumat lanjut mengenai topik:
Peminat daripada komuniti penyedia Internet terpencar "Medium" sedang mencipta enjin carian mereka sendiri
Asalnya dalam talian , yang digunakan oleh penyedia perkhidmatan Internet terdesentralisasi Medium sebagai pengangkutan, tidak mempunyai pelayan DNS sendiri atau infrastruktur kunci awam - namun, keperluan untuk mengeluarkan sijil keselamatan untuk perkhidmatan rangkaian Medium menyelesaikan kedua-dua masalah ini.
Mengapa anda memerlukan PKI jika Yggdrasil di luar kotak menyediakan keupayaan untuk menyulitkan trafik antara rakan sebaya?Tidak perlu menggunakan HTTPS untuk menyambung ke perkhidmatan web pada rangkaian Yggdrasil jika anda menyambung kepada mereka melalui penghala rangkaian Yggdrasil yang dijalankan secara tempatan.
Sesungguhnya: Pengangkutan Yggdrasil adalah setanding membolehkan anda menggunakan sumber dengan selamat dalam rangkaian Yggdrasil - keupayaan untuk menjalankan dikecualikan sepenuhnya.
Keadaan berubah secara radikal jika anda mengakses sumber intranet Yggdarsil bukan secara langsung, tetapi melalui nod perantaraan - pusat akses rangkaian Sederhana, yang ditadbir oleh pengendalinya.
Dalam kes ini, siapa yang boleh menjejaskan data yang anda hantar:
- Pengendali pusat akses. Jelas sekali bahawa pengendali semasa pusat akses rangkaian Sederhana boleh mencuri dengar trafik tidak disulitkan yang melalui peralatannya.
- penceroboh (). Medium mempunyai masalah yang serupa dengan , hanya berkaitan dengan input dan nod perantaraan.
Beginilah rupanya
keputusan: untuk mengakses perkhidmatan web dalam rangkaian Yggdrasil, gunakan protokol HTTPS (tahap 7 ). Masalahnya ialah tidak mungkin mengeluarkan sijil keselamatan tulen untuk perkhidmatan rangkaian Yggdrasil melalui cara konvensional seperti .
Oleh itu, kami menubuhkan pusat pensijilan kami sendiri - . Sebilangan besar perkhidmatan dalam rangkaian Medium ditandatangani oleh sijil keselamatan akar pihak berkuasa pensijilan perantaraan Pelayan Selamat Pengesahan Domain Sederhana CA.
Kemungkinan menjejaskan sijil akar pihak berkuasa pensijilan, sudah tentu, diambil kira - tetapi di sini sijil itu lebih diperlukan untuk mengesahkan integriti penghantaran data dan menghapuskan kemungkinan serangan MITM.
Perkhidmatan rangkaian sederhana daripada pengendali yang berbeza mempunyai sijil keselamatan yang berbeza, satu cara atau yang lain ditandatangani oleh pihak berkuasa pensijilan akar. Walau bagaimanapun, pengendali Root CA tidak dapat mencuri dengar trafik yang disulitkan daripada perkhidmatan yang mereka telah menandatangani sijil keselamatan (lihat ).
Mereka yang amat mengambil berat tentang keselamatan mereka boleh menggunakan cara seperti perlindungan tambahan, seperti и .
Pada masa ini, infrastruktur utama awam rangkaian Medium mempunyai keupayaan untuk menyemak status sijil menggunakan protokol atau melalui penggunaan .
Sampai ke intinya
Pengguna mula membangunkan enjin carian untuk perkhidmatan web yang terletak di rangkaian Yggdrasil. Aspek penting ialah hakikat bahawa penentuan alamat IPv6 perkhidmatan semasa melakukan carian dijalankan dengan menghantar permintaan kepada pelayan DNS yang terletak di dalam rangkaian Medium.
TLD utama ialah .ygg. Kebanyakan nama domain mempunyai TLD ini, dengan dua pengecualian: .isp и .gg.
Enjin carian sedang dalam pembangunan, tetapi penggunaannya sudah boleh dilakukan hari ini - hanya layari laman web .
Anda boleh membantu pembangunan projek, .
Medium telah menubuhkan pihak berkuasa pensijilan baharu, Medium Global Root CA. Siapa yang akan terjejas oleh perubahan itu?
Semalam, ujian awam ke atas fungsi pusat pensijilan Medium Root CA telah selesai. Pada akhir ujian, ralat dalam pengendalian perkhidmatan infrastruktur kunci awam telah diperbetulkan dan sijil akar baharu pihak berkuasa pensijilan "Medium Global Root CA" telah dicipta.
Semua nuansa dan ciri PKI telah diambil kira - kini sijil CA baharu "Medium Global Root CA" akan dikeluarkan hanya sepuluh tahun kemudian (selepas tarikh tamat tempohnya). Kini sijil keselamatan hanya dikeluarkan oleh pihak berkuasa pensijilan perantaraan - contohnya, "CA Pelayan Selamat Pengesahan Domain Sederhana".
Apakah rupa rantaian amanah sijil sekarang?
Apa yang perlu dilakukan untuk semuanya berfungsi jika anda seorang pengguna:
Memandangkan sesetengah perkhidmatan menggunakan HSTS, sebelum menggunakan sumber rangkaian Sederhana, anda mesti memadamkan data daripada sumber intranet Sederhana. Anda boleh melakukan ini dalam tab Sejarah penyemak imbas anda.
Ia juga perlu pusat pensijilan "Medium Global Root CA".
Apa yang perlu dilakukan untuk menjadikan semuanya berfungsi jika anda seorang pengendali sistem:
Anda perlu mengeluarkan semula sijil untuk perkhidmatan anda pada halaman (perkhidmatan ini hanya tersedia pada rangkaian Medium).
Sijil keselamatan untuk setiap rumah - cara membuat perkhidmatan anda sendiri pada rangkaian Yggdrasil dan mengeluarkan sijil SSL yang sah untuknya
Disebabkan oleh pertumbuhan dalam bilangan perkhidmatan intranet pada rangkaian Medium, keperluan untuk mengeluarkan sijil keselamatan baharu dan mengkonfigurasi perkhidmatan mereka supaya mereka menyokong SSL telah meningkat.
Memandangkan Habr ialah sumber teknikal, dalam setiap ringkasan baharu, satu daripada item agenda akan mendedahkan ciri teknikal infrastruktur rangkaian Sederhana. Sebagai contoh, di bawah ialah arahan komprehensif untuk mengeluarkan sijil SSL untuk perkhidmatan anda.
Contoh akan menunjukkan nama domain domain.ygg, yang mesti digantikan dengan nama domain perkhidmatan anda.
Langkah 1. Hasilkan kunci peribadi dan parameter Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Kemudian:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Langkah 2. Buat permintaan menandatangani sijil
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confKandungan fail domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Langkah 3. Hantar permintaan sijil
Untuk melakukan ini, salin kandungan fail domain.ygg.csr dan tampalkannya ke dalam medan teks di tapak .
Ikut arahan yang diberikan pada tapak web, kemudian klik "Serah". Jika berjaya, mesej akan dihantar ke alamat e-mel yang anda tentukan yang mengandungi lampiran dalam bentuk sijil yang ditandatangani oleh pihak berkuasa pensijilan perantaraan.
Langkah 4. Sediakan pelayan web anda
Jika anda menggunakan nginx sebagai pelayan web anda, gunakan konfigurasi berikut:
fail domain.ygg.conf dalam direktori /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fail ssl-params.conf dalam direktori /etc/nginx/snippet/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fail domain.ygg.conf dalam direktori /etc/nginx/snippet/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Sijil yang anda terima melalui e-mel mesti disalin ke: /etc/ssl/certs/domain.ygg.crt. Kunci peribadi (domain.ygg.key) letakkannya dalam direktori /etc/ssl/private/.
Langkah 5. Mulakan semula pelayan web anda
sudo service nginx restartInternet percuma di Rusia bermula dengan anda
Anda boleh memberikan semua bantuan yang mungkin kepada penubuhan Internet percuma di Rusia hari ini. Kami telah menyusun senarai lengkap tentang cara anda boleh membantu rangkaian:
- Beritahu rakan dan rakan sekerja anda tentang rangkaian Medium. Kongsi kepada artikel ini di rangkaian sosial atau blog peribadi
- Mengambil bahagian dalam perbincangan isu teknikal pada rangkaian Medium
- Cipta perkhidmatan web anda pada rangkaian Yggdrasil dan tambahkannya
- Angkat awak kepada rangkaian Sederhana
Keluaran sebelumnya:
Lihat juga:
Kami di Telegram:
Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. , Sama-sama.
Pengundian alternatif: adalah penting bagi kita untuk mengetahui pendapat mereka yang tidak mempunyai akaun penuh tentang Habré
-
↑
-
↓
7 pengguna mengundi. 2 pengguna berpantang.
Sumber: www.habr.com