We horen de uitdrukking ‘nationale veiligheid’ de hele tijd, maar wanneer de regering onze communicatie begint te monitoren en deze opneemt zonder geloofwaardige verdenking, wettelijke basis en zonder enig duidelijk doel, moeten we onszelf de vraag stellen: beschermen ze werkelijk de nationale veiligheid of beschermen ze de nationale veiligheid? beschermen ze hun eigen land?
- Edward Snowden
Deze samenvatting is bedoeld om de belangstelling van de Gemeenschap voor de kwestie van de privacy te vergroten, wat, in het licht van wordt relevanter dan ooit tevoren.
Op de agenda:
Enthousiastelingen uit de gemeenschap van de gedecentraliseerde internetprovider “Medium” creëren hun eigen zoekmachine
Medium heeft een nieuwe certificeringsinstantie opgericht, Medium Global Root CA. Wie zal door de veranderingen worden getroffen?
Beveiligingscertificaten voor elk huis - hoe u uw eigen service op het Yggdrasil-netwerk kunt creëren en hiervoor een geldig SSL-certificaat kunt uitgeven
Herinner mij eraan: wat is “Medium”?
Medium (Engels Medium - “tussenpersoon”, originele slogan - Vraag niet om uw privacy. Neem het terug; ook in het Engels het woord Medium betekent “tussenproduct”) - een Russische gedecentraliseerde internetprovider die netwerktoegangsdiensten levert gratis.
Volledige naam: Middelgrote internetprovider. Aanvankelijk was het project bedoeld als в .
Opgericht in april 2019 als onderdeel van het creëren van een onafhankelijke telecommunicatieomgeving door eindgebruikers toegang te bieden tot Yggdrasil-netwerkbronnen door het gebruik van Wi-Fi draadloze datatransmissietechnologie.
Meer informatie over het onderwerp:
Enthousiastelingen uit de gemeenschap van de gedecentraliseerde internetprovider “Medium” creëren hun eigen zoekmachine
Oorspronkelijk online , dat de gedecentraliseerde internetprovider Medium als transportmiddel gebruikt, beschikte niet over een eigen DNS-server of openbare sleutelinfrastructuur. De noodzaak om beveiligingscertificaten uit te geven voor mediumnetwerkdiensten loste deze twee problemen echter op.
Waarom heb je PKI nodig als Yggdrasil kant-en-klaar de mogelijkheid biedt om verkeer tussen peers te versleutelen?Het is niet nodig om HTTPS te gebruiken om verbinding te maken met webservices op het Yggdrasil-netwerk als u verbinding maakt via een lokaal werkende Yggdrasil-netwerkrouter.
Sterker nog: het transport van Yggdrasil is op peil stelt u in staat om veilig gebruik te maken van bronnen binnen het Yggdrasil-netwerk - het vermogen om te geleiden volledig uitgesloten.
De situatie verandert radicaal als u niet rechtstreeks toegang krijgt tot de intranetbronnen van Yggdarsil, maar via een tussenliggend knooppunt: het Medium-netwerktoegangspunt, dat wordt beheerd door de operator.
Wie kan in dit geval de door u verzonden gegevens in gevaar brengen:
- Toegangspuntoperator. Het ligt voor de hand dat de huidige exploitant van het Medium-netwerktoegangspunt het niet-versleutelde verkeer dat door zijn apparatuur gaat, kan afluisteren.
- indringer (). Medium heeft een soortgelijk probleem , alleen met betrekking tot invoer- en tussenknooppunten.
Dit is hoe het eruit ziet
beslissing: voor toegang tot webservices binnen het Yggdrasil-netwerk gebruikt u het HTTPS-protocol (niveau 7 ). Het probleem is dat het niet mogelijk is om op conventionele wijze een echt beveiligingscertificaat voor Yggdrasil-netwerkdiensten uit te geven .
Daarom hebben we ons eigen certificeringscentrum opgericht - . De overgrote meerderheid van Medium-netwerkdiensten is ondertekend door het root-beveiligingscertificaat van de tussenliggende certificeringsinstantie “Medium Domain Validation Secure Server CA”.
Er werd uiteraard rekening gehouden met de mogelijkheid om het rootcertificaat van de certificeringsinstantie in gevaar te brengen, maar hier is het certificaat meer noodzakelijk om de integriteit van de gegevensoverdracht te bevestigen en de mogelijkheid van MITM-aanvallen te elimineren.
Middelgrote netwerkdiensten van verschillende operators hebben verschillende beveiligingscertificaten, op de een of andere manier ondertekend door de rootcertificeringsinstantie. Root CA-operators kunnen echter niet het gecodeerde verkeer afluisteren van diensten waarvoor zij beveiligingscertificaten hebben ondertekend (zie ).
Degenen die zich vooral zorgen maken over hun veiligheid, kunnen middelen gebruiken als extra bescherming, zoals и .
Momenteel heeft de publieke sleutelinfrastructuur van het Medium-netwerk de mogelijkheid om de status van een certificaat te controleren met behulp van het protocol of door gebruik .
Dichter bij het punt
Gebruiker begon een zoekmachine te ontwikkelen voor webservices op het Yggdrasil-netwerk. Een belangrijk aspect is het feit dat de bepaling van IPv6-adressen van diensten bij het uitvoeren van een zoekopdracht wordt uitgevoerd door een verzoek te sturen naar een DNS-server die zich binnen het Medium-netwerk bevindt.
De belangrijkste TLD is .ygg. De meeste domeinnamen hebben dit TLD, met twee uitzonderingen: .isp и .gg.
De zoekmachine is in ontwikkeling, maar het gebruik ervan is vandaag al mogelijk - bezoek gewoon de website .
Je kunt helpen bij de ontwikkeling van het project, .
Medium heeft een nieuwe certificeringsinstantie opgericht, Medium Global Root CA. Wie zal door de veranderingen worden getroffen?
Gisteren is de openbare test van de functionaliteit van het Medium Root CA-certificeringscentrum afgerond. Aan het einde van de tests werden fouten in de werking van openbare-sleutelinfrastructuurdiensten gecorrigeerd en werd een nieuw rootcertificaat van de certificeringsinstantie “Medium Global Root CA” gecreëerd.
Er werd rekening gehouden met alle nuances en kenmerken van PKI - nu wordt het nieuwe CA-certificaat "Medium Global Root CA" pas tien jaar later (na de vervaldatum) uitgegeven. Nu worden beveiligingscertificaten alleen uitgegeven door tussenliggende certificeringsinstanties, bijvoorbeeld "Medium Domain Validation Secure Server CA".
Hoe ziet de certificaatvertrouwenketen er nu uit?
Wat moet u doen om alles te laten werken als u een gebruiker bent:
Omdat sommige services HSTS gebruiken, moet u voordat u Middelgrote netwerkbronnen gebruikt, gegevens verwijderen uit Middelgrote intranetbronnen. U kunt dit doen op het tabblad Geschiedenis van uw browser.
Het is ook nodig certificeringscentrum "Medium Global Root CA".
Wat moet u doen om alles te laten werken als u een systeembeheerder bent:
U moet het certificaat voor uw service op de pagina opnieuw uitgeven (de dienst is alleen beschikbaar op het Medium-netwerk).
Beveiligingscertificaten voor elk huis - hoe u uw eigen service op het Yggdrasil-netwerk kunt creëren en hiervoor een geldig SSL-certificaat kunt uitgeven
Door de groei van het aantal intranetdiensten op het Medium-netwerk is de noodzaak toegenomen om nieuwe beveiligingscertificaten uit te geven en hun diensten zo te configureren dat ze SSL ondersteunen.
Omdat Habr een technische hulpbron is, zal in elk nieuw overzicht een van de agendapunten de technische kenmerken van de middelgrote netwerkinfrastructuur onthullen. Hieronder vindt u bijvoorbeeld uitgebreide instructies voor het uitgeven van een SSL-certificaat voor uw dienst.
In de voorbeelden wordt de domeinnaam aangegeven domein.ygg, die moet worden vervangen door de domeinnaam van uw service.
Stap 1. Genereer privésleutel en Diffie-Hellman-parameters
openssl genrsa -out domain.ygg.key 2048dan:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Stap 2. Maak een certificaatondertekeningsverzoek
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confBestand inhoud domein.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Stap 3. Dien een certificaataanvraag in
Kopieer hiervoor de inhoud van het bestand domein.ygg.csr en plak deze in het tekstveld op de site .
Volg de instructies op de website en klik vervolgens op "Verzenden". Als dit lukt, wordt er een bericht verzonden naar het door u opgegeven e-mailadres met daarin een bijlage in de vorm van een certificaat ondertekend door een tussenliggende certificeringsinstantie.
Stap 4. Stel uw webserver in
Als u nginx als uw webserver gebruikt, gebruikt u de volgende configuratie:
file domein.ygg.conf in de map /etc/nginx/sites-beschikbaar/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
file ssl-params.conf in de map /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
file domein.ygg.conf in de map /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Het certificaat dat u per e-mail heeft ontvangen, moet worden gekopieerd naar: /etc/ssl/certs/domein.ygg.crt. Prive sleutel (domein.ygg.key) plaats het in een map /etc/ssl/privé/.
Stap 5. Start uw webserver opnieuw op
sudo service nginx restartGratis internet in Rusland begint bij jou
U kunt vandaag alle mogelijke hulp bieden bij het tot stand brengen van een gratis internet in Rusland. We hebben een uitgebreide lijst samengesteld van hoe u het netwerk precies kunt helpen:
- Vertel uw vrienden en collega's over het Medium-netwerk. Deel naar dit artikel op sociale netwerken of persoonlijke blog
- Neem deel aan de discussie over technische problemen op het Medium-netwerk
- Maak uw webservice aan op het Yggdrasil-netwerk en voeg deze toe
- Verhoog de jouwe naar het Medium-netwerk
Eerdere releases:
Zie ook:
Wij zijn op Telegram:
Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. , Alsjeblieft.
Alternatief stemmen: het is belangrijk voor ons om de mening te kennen van degenen die geen volledig account op Habré hebben
-
↑
-
↓
7 gebruikers hebben gestemd. 2 gebruikers onthielden zich van stemming.
Bron: www.habr.com