Vi hører uttrykket «nasjonal sikkerhet» hele tiden, men når regjeringen begynner å overvåke kommunikasjonen vår, registrerer den uten troverdig mistanke, rettslig grunnlag og uten noen åpenbar hensikt, må vi stille oss selv spørsmålet: beskytter de virkelig nasjonal sikkerhet eller beskytter de sine egne?
- Edward Snowden
Denne sammendraget er ment å øke fellesskapets interesse i spørsmålet om personvern, som i lys av blir mer aktuelt enn noen gang før.
På agendaen:
Entusiaster fra fellesskapet til den desentraliserte internettleverandøren "Medium" lager sin egen søkemotor
Medium har etablert en ny sertifiseringsinstans, Medium Global Root CA. Hvem vil bli berørt av endringene?
Sikkerhetssertifikater for hvert hjem - hvordan lage din egen tjeneste på Yggdrasil-nettverket og utstede et gyldig SSL-sertifikat for det
Minn meg på - hva er "Medium"?
Medium (Engelsk Medium - "mellomledd", originalt slagord - Ikke spør om personvernet ditt. Ta det tilbake; også på engelsk ordet medium betyr "mellomliggende") - en russisk desentralisert Internett-leverandør som tilbyr nettverkstilgangstjenester gratis.
Fullt navn: Medium Internet Service Provider. Opprinnelig ble prosjektet tenkt som в .
Dannet i april 2019 som en del av etableringen av et uavhengig telekommunikasjonsmiljø ved å gi sluttbrukere tilgang til Yggdrasil-nettverksressurser gjennom bruk av trådløs Wi-Fi-dataoverføringsteknologi.
Mer informasjon om emnet:
Entusiaster fra fellesskapet til den desentraliserte internettleverandøren "Medium" lager sin egen søkemotor
Opprinnelig på nett , som den desentraliserte Internett-tjenesteleverandøren Medium bruker som transport, hadde ikke egen DNS-server eller offentlig nøkkelinfrastruktur - behovet for å utstede sikkerhetssertifikater for Medium nettverkstjenester løste imidlertid disse to problemene.
Hvorfor trenger du PKI hvis Yggdrasil ut av boksen gir muligheten til å kryptere trafikk mellom jevnaldrende?Det er ikke nødvendig å bruke HTTPS for å koble til webtjenester på Yggdrasil-nettverket hvis du kobler til dem gjennom en lokalt kjørende Yggdrasil-nettverksruter.
Faktisk: Yggdrasil transport er på nivå lar deg trygt bruke ressurser innenfor Yggdrasil-nettverket - evnen til å drive helt utelukket.
Situasjonen endres radikalt hvis du ikke får tilgang til Yggdarsils intranettressurser direkte, men gjennom en mellomnode - Medium nettverkstilgangspunktet, som administreres av operatøren.
Hvem kan i dette tilfellet kompromittere dataene du overfører:
- Tilgangspunktoperatør. Det er åpenbart at den nåværende operatøren av Medium nettverkstilgangspunktet kan avlytte ukryptert trafikk som går gjennom utstyret.
- inntrenger (). Medium har et problem som ligner på , kun i forhold til inngangs- og mellomnoder.
Slik ser det ut
beslutning: for å få tilgang til nettjenester innenfor Yggdrasil-nettverket, bruk HTTPS-protokollen (nivå 7 ). Problemet er at det ikke er mulig å utstede et ekte sikkerhetssertifikat for Yggdrasil nettverkstjenester på konvensjonelle måter som f.eks. .
Derfor etablerte vi vårt eget sertifiseringssenter - . De aller fleste Medium-nettverkstjenester er signert av rotsikkerhetssertifikatet til den mellomliggende sertifiseringsmyndigheten "Medium Domain Validation Secure Server CA".
Muligheten for å kompromittere rotsertifikatet til sertifiseringsmyndigheten ble selvfølgelig tatt i betraktning – men her er sertifikatet mer nødvendig for å bekrefte integriteten til dataoverføring og eliminere muligheten for MITM-angrep.
Medium nettverkstjenester fra forskjellige operatører har forskjellige sikkerhetssertifikater, på en eller annen måte signert av rotsertifiseringsmyndigheten. Root CA-operatører er imidlertid ikke i stand til å avlytte kryptert trafikk fra tjenester som de har signert sikkerhetssertifikater til (se ).
De som er spesielt opptatt av sin sikkerhet kan bruke slike midler som ekstra beskyttelse, som f.eks и .
For øyeblikket har den offentlige nøkkelinfrastrukturen til Medium-nettverket muligheten til å sjekke statusen til et sertifikat ved hjelp av protokollen eller gjennom bruk .
Kom til poenget
Bruker begynte å utvikle en søkemotor for nettjenester lokalisert på Yggdrasil-nettverket. Et viktig aspekt er det faktum at bestemmelsen av IPv6-adresser til tjenester når du utfører et søk, utføres ved å sende en forespørsel til en DNS-server som ligger inne i Medium-nettverket.
Den viktigste TLD er .ygg. De fleste domenenavn har denne TLD, med to unntak: .isp и .gg.
Søkemotoren er under utvikling, men bruken er mulig allerede i dag - bare besøk nettsiden .
Du kan hjelpe med utviklingen av prosjektet, .
Medium har etablert en ny sertifiseringsinstans, Medium Global Root CA. Hvem vil bli berørt av endringene?
I går ble offentlig testing av funksjonaliteten til Medium Root CA-sertifiseringssenteret fullført. På slutten av testingen ble feil i driften av offentlige nøkkelinfrastrukturtjenester rettet og et nytt rotsertifikat fra sertifiseringsmyndigheten "Medium Global Root CA" ble opprettet.
Alle nyansene og funksjonene til PKI ble tatt i betraktning - nå vil det nye CA-sertifikatet "Medium Global Root CA" bli utstedt bare ti år senere (etter utløpsdatoen). Nå utstedes sikkerhetssertifikater kun av mellomliggende sertifiseringsmyndigheter - for eksempel "Medium Domain Validation Secure Server CA".
Hvordan ser sertifikattillitskjeden ut nå?
Hva må gjøres for at alt skal fungere hvis du er bruker:
Siden noen tjenester bruker HSTS, må du slette data fra Medium intranettressurser før du bruker Medium nettverksressurser. Du kan gjøre dette i Logg-fanen i nettleseren din.
Det er også nødvendig sertifiseringssenter "Medium Global Root CA".
Hva må gjøres for å få alt til å fungere hvis du er en systemoperatør:
Du må utstede sertifikatet på nytt for tjenesten din på siden (tjenesten er kun tilgjengelig på Medium-nettverket).
Sikkerhetssertifikater for hvert hjem - hvordan lage din egen tjeneste på Yggdrasil-nettverket og utstede et gyldig SSL-sertifikat for det
På grunn av veksten i antall intranetttjenester på Medium-nettverket har behovet for å utstede nye sikkerhetssertifikater og konfigurere tjenestene deres slik at de støtter SSL økt.
Siden Habr er en teknisk ressurs, vil ett av agendapunktene i hvert nytt sammendrag avsløre de tekniske egenskapene til Medium-nettverksinfrastrukturen. Nedenfor er for eksempel omfattende instruksjoner for utstedelse av et SSL-sertifikat for tjenesten din.
Eksemplene vil indikere domenenavnet domene.ygg, som må erstattes med domenenavnet til tjenesten din.
Trinn 1. Generer privat nøkkel og Diffie-Hellman parametere
openssl genrsa -out domain.ygg.key 2048Deretter:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Trinn 2. Opprett en forespørsel om sertifikatsignering
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFilinnhold domene.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Trinn 3. Send inn en sertifikatforespørsel
For å gjøre dette, kopier innholdet i filen domain.ygg.csr og lim den inn i tekstfeltet på nettstedet .
Følg instruksjonene på nettstedet, og klikk deretter på "Send". Hvis vellykket, vil en melding sendes til e-postadressen du spesifiserte som inneholder et vedlegg i form av et sertifikat signert av en mellomliggende sertifiseringsinstans.
Trinn 4. Sett opp webserveren din
Hvis du bruker nginx som webserver, bruk følgende konfigurasjon:
fil domene.ygg.conf i katalogen /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fil ssl-params.conf i katalogen /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fil domene.ygg.conf i katalogen /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Sertifikatet du mottok på e-post må kopieres til: /etc/ssl/certs/domain.ygg.crt. Privat nøkkel (domene.ygg.nøkkel) plasser den i en katalog /etc/ssl/private/.
Trinn 5. Start webserveren på nytt
sudo service nginx restartGratis Internett i Russland starter med deg
Du kan gi all mulig hjelp til etableringen av et gratis Internett i Russland i dag. Vi har satt sammen en omfattende liste over nøyaktig hvordan du kan hjelpe nettverket:
- Fortell dine venner og kolleger om Medium-nettverket. Dele til denne artikkelen på sosiale nettverk eller personlig blogg
- Ta del i diskusjonen om tekniske spørsmål på Medium-nettverket
- Lag din nettjeneste på Yggdrasil-nettverket og legg den til
- Hev din til Medium-nettverket
Tidligere utgivelser:
Se også:
Vi i Telegram:
Kun registrerte brukere kan delta i undersøkelsen. , vær så snill.
Alternativ stemmegivning: det er viktig for oss å vite meningen til de som ikke har full konto på Habré
-
↑
-
↓
7 brukere stemte. 2 brukere avsto.
Kilde: www.habr.com