Diġest ta' kull ġimgħa medju #5 (9 – 16 ta' Awwissu 2019)
Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Dan id-diġest huwa maħsub biex iżid l-interess tal-Komunità fil-kwistjoni tal-privatezza, li, fid-dawl ta l-aħħar avvenimenti isir aktar rilevanti minn qatt qabel.
Fuq l-aġenda:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Fakkarni - x'inhu "Medju"?
Medja (Ingliż Medja - "intermedjarju", slogan oriġinali - Titlobx għall-privatezza tiegħek. Ħudha lura; ukoll bl-Ingliż il-kelma medju tfisser "intermedju") - fornitur tal-Internet deċentralizzat Russu li jipprovdi servizzi ta' aċċess għan-netwerk Yggdrasil b'xejn.
Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?M'hemmx bżonn li tuża HTTPS biex tikkonnettja mas-servizzi tal-web fuq in-netwerk Yggdrasil jekk tikkonnettja magħhom permezz ta 'router tan-netwerk Yggdrasil li jaħdem lokalment.
Tabilħaqq: it-trasport Yggdrasil huwa fuq l-istess protokoll jippermettilek tuża b'mod sikur ir-riżorsi fin-netwerk Yggdrasil - il-ħila li tmexxi attakki MITM kompletament eskluż.
Is-sitwazzjoni tinbidel radikalment jekk taċċessa r-riżorsi intranet ta 'Yggdarsil mhux direttament, iżda permezz ta' nodu intermedju - il-punt ta 'aċċess tan-netwerk Medju, li huwa amministrat mill-operatur tiegħu.
F'dan il-każ, min jista' jikkomprometti d-dejta li tittrasmetti:
Operatur tal-punt ta' aċċess. Huwa ovvju li l-operatur attwali tal-punt ta 'aċċess tan-netwerk Medju jista' jisma' traffiku mhux kriptat li jgħaddi mit-tagħmir tiegħu.
deċiżjoni: biex taċċessa s-servizzi tal-web fin-netwerk Yggdrasil, uża l-protokoll HTTPS (livell 7 Mudelli OSI). Il-problema hija li mhux possibbli li jinħareġ ċertifikat ta' sigurtà ġenwin għas-servizzi tan-netwerk Yggdrasil permezz ta' mezzi konvenzjonali bħal Let's Encrypt.
Għalhekk, waqqafna ċ-ċentru ta 'ċertifikazzjoni tagħna stess - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Ġiet ikkunsidrata, ovvjament, il-possibbiltà li jiġi kompromess iċ-ċertifikat tal-għeruq tal-awtorità taċ-ċertifikazzjoni - iżda hawnhekk iċ-ċertifikat huwa aktar meħtieġ biex tikkonferma l-integrità tat-trażmissjoni tad-dejta u tiġi eliminata l-possibbiltà ta 'attakki MITM.
Servizzi ta 'netwerk medju minn operaturi differenti għandhom ċertifikati ta' sigurtà differenti, b'xi mod jew ieħor iffirmati mill-awtorità taċ-ċertifikazzjoni tal-għeruq. Madankollu, l-operaturi Root CA ma jistgħux jisimgħu traffiku kriptat minn servizzi li għalihom iffirmaw iċ-ċertifikati tas-sigurtà (ara "X'inhi s-CSR?").
Dawk li huma speċjalment imħassba dwar is-sigurtà tagħhom jistgħu jużaw mezzi bħal protezzjoni addizzjonali, bħal PGP и simili.
Bħalissa, l-infrastruttura taċ-ċavetta pubblika tan-netwerk Medju għandha l-abbiltà li tivverifika l-istatus ta 'ċertifikat billi tuża l-protokoll OCSP jew permezz tal-użu C.R.L..
Niżżel il-punt
Utent @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Pass 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Pass 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Pass 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Pass 5. Перезапустите ваш веб-сервер
sudo service nginx restart
L-Internet b'xejn fir-Russja jibda miegħek
Tista' tipprovdi l-għajnuna kollha possibbli għat-twaqqif ta' Internet b'xejn fir-Russja llum. Aħna kkumpilajna lista komprensiva ta 'eżatt kif tista' tgħin lin-netwerk:
Għid lill-ħbieb u l-kollegi tiegħek dwar in-netwerk Medium. Aqsam b'referenza għal dan l-artikolu fuq netwerks soċjali jew blog personali
Ħu sehem fid-diskussjoni ta' kwistjonijiet tekniċi fuq in-netwerk tal-Medju fuq GitHub