Ciągle słyszymy sformułowanie „bezpieczeństwo narodowe”, ale kiedy rząd zaczyna monitorować naszą komunikację, nagrywając ją bez wiarygodnych podejrzeń, podstawy prawnej i bez wyraźnego celu, musimy zadać sobie pytanie: czy rzeczywiście chronią bezpieczeństwo narodowe, czy czy chronią swoich?
- Edward Snowden
Niniejsze zestawienie ma na celu zwiększenie zainteresowania Wspólnoty kwestią prywatności, która w świetle staje się bardziej aktualny niż kiedykolwiek.
W programie:
Entuzjaści ze społeczności zdecentralizowanego dostawcy Internetu „Medium” tworzą własną wyszukiwarkę
Medium utworzyło nowy urząd certyfikacji, Medium Global Root CA. Kogo dotkną zmiany?
Certyfikaty bezpieczeństwa dla każdego domu – jak stworzyć własną usługę w sieci Yggdrasil i wystawić dla niej ważny certyfikat SSL
Przypomnij mi – co to jest „średni”?
Średni (English Średni — „pośrednik”, oryginalne hasło — Nie pytaj o swoją prywatność. weź to z powrotem; również w słowie angielskim średni oznacza „pośredni”) - rosyjski zdecentralizowany dostawca Internetu, który świadczy usługi dostępu do sieci darmo.
Pełna nazwa to średni dostawca usług internetowych. Projekt pierwotnie pomyślany jako в .
Powstała w kwietniu 2019 roku w ramach tworzenia niezależnego środowiska telekomunikacyjnego poprzez zapewnienie użytkownikom końcowym dostępu do zasobów sieci Yggdrasil poprzez wykorzystanie technologii bezprzewodowej transmisji danych Wi-Fi.
Więcej informacji na ten temat:
Entuzjaści ze społeczności zdecentralizowanego dostawcy Internetu „Medium” tworzą własną wyszukiwarkę
Pierwotnie w Internecie , którego zdecentralizowany dostawca usług internetowych Medium wykorzystuje jako transport, nie posiadał własnego serwera DNS ani infrastruktury klucza publicznego – jednak konieczność wydawania certyfikatów bezpieczeństwa dla usług sieciowych Medium rozwiązała te dwa problemy.
Po co Ci PKI, skoro Yggdrasil od razu zapewnia możliwość szyfrowania ruchu pomiędzy urządzeniami równorzędnymi?Nie ma potrzeby używania protokołu HTTPS do łączenia się z usługami internetowymi w sieci Yggdrasil, jeśli łączysz się z nimi za pośrednictwem lokalnie działającego routera sieciowego Yggdrasil.
Rzeczywiście: transport Yggdrasil jest na równi pozwala na bezpieczne korzystanie z zasobów w sieci Yggdrasil - możliwość przewodzenia całkowicie wykluczone.
Sytuacja zmienia się radykalnie, jeśli do zasobów intranetu Yggdarsil uzyskasz dostęp nie bezpośrednio, ale poprzez węzeł pośredni – punkt dostępu do sieci Medium, którym administruje jego operator.
W takim przypadku kto może naruszyć bezpieczeństwo przesyłanych danych:
- Operator punktu dostępowego. Oczywistym jest, że obecny operator punktu dostępu do sieci Medium może podsłuchiwać niezaszyfrowany ruch przechodzący przez jego sprzęt.
- intruz (). Medium ma podobny problem , tylko w odniesieniu do węzłów wejściowych i pośrednich.
Tak to wygląda
decyzja: aby uzyskać dostęp do usług internetowych w sieci Yggdrasil, użyj protokołu HTTPS (poziom 7 ). Problem polega na tym, że nie jest możliwe wystawienie prawdziwego certyfikatu bezpieczeństwa dla usług sieciowych Yggdrasil za pomocą konwencjonalnych środków, takich jak .
Dlatego stworzyliśmy własne centrum certyfikacji - . Zdecydowana większość usług w sieci Medium jest podpisana głównym certyfikatem bezpieczeństwa pośredniego urzędu certyfikacji Medium Domain Validation Secure Server CA.
Brano oczywiście pod uwagę możliwość naruszenia certyfikatu głównego urzędu certyfikacji – jednak tutaj certyfikat jest bardziej niezbędny do potwierdzenia integralności transmisji danych i wyeliminowania możliwości ataków MITM.
Średnie usługi sieciowe różnych operatorów mają różne certyfikaty bezpieczeństwa, w ten czy inny sposób podpisane przez główny urząd certyfikacji. Operatorzy Root CA nie są jednak w stanie podsłuchiwać zaszyfrowanego ruchu z usług, do których mają podpisane certyfikaty bezpieczeństwa (patrz ).
Osoby szczególnie dbające o swoje bezpieczeństwo mogą skorzystać z takich środków jak dodatkowa ochrona, np и .
Obecnie infrastruktura klucza publicznego sieci Medium ma możliwość sprawdzenia stanu certyfikatu za pomocą protokołu lub poprzez użycie .
Przejdź do rzeczy
Użytkownik rozpoczęło prace nad wyszukiwarką serwisów internetowych zlokalizowanych w sieci Yggdrasil. Ważnym aspektem jest fakt, że określenie adresów IPv6 usług podczas wyszukiwania odbywa się poprzez wysłanie zapytania do serwera DNS znajdującego się wewnątrz sieci Medium.
Główną TLD jest .ygg. Większość nazw domen ma tę TLD, z dwoma wyjątkami: .isp и .gg.
Wyszukiwarka jest w fazie rozwoju, ale korzystanie z niej jest możliwe już dziś – wystarczy wejść na stronę .
Możesz pomóc w rozwoju projektu, .
Medium utworzyło nowy urząd certyfikacji, Medium Global Root CA. Kogo dotkną zmiany?
Wczoraj zakończyły się publiczne testy funkcjonalności centrum certyfikacji Medium Root CA. Na zakończenie testów poprawiono błędy w działaniu usług infrastruktury klucza publicznego i utworzono nowy certyfikat główny urzędu certyfikacji „Medium Global Root CA”.
Uwzględniono wszystkie niuanse i cechy PKI - teraz nowy certyfikat CA „Medium Global Root CA” zostanie wydany dopiero dziesięć lat później (po jego wygaśnięciu). Obecnie certyfikaty bezpieczeństwa są wydawane tylko przez pośrednie urzędy certyfikacji - na przykład „Medium Domain Validation Secure Server CA”.
Jak teraz wygląda łańcuch zaufania certyfikatów?
Co należy zrobić, aby wszystko działało, jeśli jesteś użytkownikiem:
Ponieważ niektóre usługi korzystają z HSTS, przed użyciem zasobów sieciowych Medium należy usunąć dane z zasobów intranetowych Medium. Możesz to zrobić w zakładce Historia w swojej przeglądarce.
Jest to również konieczne centrum certyfikacji „Medium Global Root CA”.
Co należy zrobić, aby wszystko działało, jeśli jesteś operatorem systemu:
Musisz ponownie wystawić certyfikat dla swojej usługi na stronie (usługa dostępna wyłącznie w sieci Medium).
Certyfikaty bezpieczeństwa dla każdego domu – jak stworzyć własną usługę w sieci Yggdrasil i wystawić dla niej ważny certyfikat SSL
W związku ze wzrostem liczby usług intranetowych w sieci Medium wzrosła konieczność wydawania nowych certyfikatów bezpieczeństwa i konfigurowania ich usług tak, aby obsługiwały SSL.
Ponieważ Habr jest zasobem technicznym, w każdym nowym podsumowaniu jeden z punktów programu ujawni techniczne cechy infrastruktury sieciowej Medium. Przykładowo poniżej znajdują się kompleksowe instrukcje dotyczące wystawienia certyfikatu SSL dla Twojej usługi.
Przykłady wskażą nazwę domeny domena.ygg, którą należy zastąpić nazwą domeny Twojej usługi.
Krok 1. Wygeneruj klucz prywatny i parametry Diffiego-Hellmana
openssl genrsa -out domain.ygg.key 2048Następnie:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Krok 2. Utwórz żądanie podpisania certyfikatu
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confZawartość pliku domena.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Krok 3. Prześlij prośbę o certyfikat
W tym celu skopiuj zawartość pliku domena.ygg.csr i wklej go w polu tekstowym na stronie .
Postępuj zgodnie z instrukcjami wyświetlanymi na stronie internetowej, a następnie kliknij „Prześlij”. Jeśli się powiedzie, na podany przez Ciebie adres e-mail zostanie wysłana wiadomość zawierająca załącznik w postaci certyfikatu podpisanego przez pośredniczący urząd certyfikacji.
Krok 4. Skonfiguruj swój serwer WWW
Jeśli używasz nginx jako serwera WWW, użyj następującej konfiguracji:
plik domena.ygg.conf w katalogu /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
plik ssl-params.conf w katalogu /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
plik domena.ygg.conf w katalogu /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Certyfikat otrzymany e-mailem należy skopiować na adres: /etc/ssl/certs/domain.ygg.crt. Prywatny klucz (domena.ygg.key) umieść go w katalogu /etc/ssl/prywatny/.
Krok 5. Uruchom ponownie serwer WWW
sudo service nginx restartDarmowy Internet w Rosji zaczyna się od Ciebie
Już dziś możesz udzielić wszelkiej możliwej pomocy w ustanowieniu darmowego Internetu w Rosji. Przygotowaliśmy obszerną listę tego, jak możesz pomóc sieci:
- Powiedz znajomym i współpracownikom o sieci Medium. Udział do tego artykułu w sieciach społecznościowych lub osobistym blogu
- Weź udział w dyskusji o kwestiach technicznych sieci Medium
- Utwórz swoją usługę internetową w sieci Yggdrasil i dodaj ją
- Podnieś swój do sieci Medium
Poprzednie wydania:
Zobacz także:
Jesteśmy na Telegramie:
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. , Proszę.
Głosowanie alternatywne: ważne jest dla nas poznanie opinii tych, którzy nie mają pełnego konta na Habré
-
↑
-
↓
Głosowało 7 użytkowników. 2 użytkowników wstrzymało się od głosu.
Źródło: www.habr.com