Ouvimos a frase “segurança nacional” o tempo todo, mas quando o governo começa a monitorizar as nossas comunicações, registando-as sem suspeitas credíveis, base legal e sem qualquer propósito aparente, devemos perguntar-nos: estão realmente a proteger a segurança nacional ou eles estão protegendo os seus?
- Edward Snowden
Este resumo destina-se a aumentar o interesse da Comunidade na questão da privacidade, que, à luz da torna-se mais relevante do que nunca.
Na agenda:
Entusiastas da comunidade do provedor de Internet descentralizado “Medium” estão criando seu próprio mecanismo de busca
Medium estabeleceu uma nova autoridade de certificação, Medium Global Root CA. Quem será afetado pelas mudanças?
Certificados de segurança para cada casa – como criar seu próprio serviço na rede Yggdrasil e emitir um certificado SSL válido para ele
Lembre-me: o que é “Médio”?
Médio (Inglês Médio - “intermediário”, slogan original - Não peça sua privacidade. Levá-lo de volta; também em inglês a palavra média significa “intermediário”) - um provedor de Internet descentralizado russo que fornece serviços de acesso à rede grátis.
Nome completo: Provedor Médio de Serviços de Internet. Inicialmente o projeto foi concebido como в .
Formada em abril de 2019 como parte da criação de um ambiente de telecomunicações independente, fornecendo aos usuários finais acesso aos recursos da rede Yggdrasil por meio do uso da tecnologia de transmissão de dados sem fio Wi-Fi.
Mais informações sobre o tema:
Entusiastas da comunidade do provedor de Internet descentralizado “Medium” estão criando seu próprio mecanismo de busca
Originalmente on-line , que o provedor descentralizado de serviços de Internet Medium usa como transporte, não possuía servidor DNS próprio ou infraestrutura de chave pública - no entanto, a necessidade de emitir certificados de segurança para serviços de rede Medium resolveu esses dois problemas.
Por que você precisa de PKI se o Yggdrasil pronto para uso oferece a capacidade de criptografar o tráfego entre pares?Não há necessidade de usar HTTPS para conectar-se a serviços da web na rede Yggdrasil se você se conectar a eles por meio de um roteador de rede Yggdrasil executado localmente.
Na verdade: o transporte Yggdrasil está no mesmo nível permite que você use recursos com segurança dentro da rede Yggdrasil - a capacidade de conduzir completamente excluído.
A situação muda radicalmente se você acessar os recursos da intranet da Yggdarsil não diretamente, mas através de um nó intermediário - o ponto de acesso da rede Média, que é administrado por sua operadora.
Neste caso, quem pode comprometer os dados que você transmite:
- Operador de ponto de acesso. É óbvio que o atual operador do ponto de acesso à rede Médio pode espionar o tráfego não criptografado que passa pelo seu equipamento.
- intruso (). Medium tem um problema semelhante ao , apenas em relação aos nós de entrada e intermediários.
Isto é o que parece
Solução: para acessar serviços web dentro da rede Yggdrasil, utilize o protocolo HTTPS (nível 7 ). O problema é que não é possível emitir um certificado de segurança genuíno para os serviços da rede Yggdrasil através de meios normais, como .
Portanto, estabelecemos nosso próprio centro de certificação - . A grande maioria dos serviços na rede Média são assinados pelo certificado de segurança raiz da autoridade de certificação intermediária Medium Domain Validation Secure Server CA.
A possibilidade de comprometer o certificado raiz da autoridade certificadora foi, obviamente, levada em consideração - mas aqui o certificado é mais necessário para confirmar a integridade da transmissão de dados e eliminar a possibilidade de ataques MITM.
Os serviços de rede média de diferentes operadoras possuem certificados de segurança diferentes, assinados de uma forma ou de outra pela autoridade de certificação raiz. No entanto, os operadores de CA raiz não conseguem espionar o tráfego criptografado de serviços para os quais assinaram certificados de segurança (consulte ).
Aqueles que estão especialmente preocupados com a sua segurança podem usar meios como proteção adicional, como и .
Atualmente, a infraestrutura de chave pública da rede Medium tem a capacidade de verificar o status de um certificado utilizando o protocolo ou através do uso .
Mais perto de casa
Usuário começou a desenvolver um mecanismo de busca para serviços web localizados na rede Yggdrasil. Um aspecto importante é o fato de que a determinação dos endereços IPv6 dos serviços ao realizar uma pesquisa é realizada através do envio de uma solicitação a um servidor DNS localizado dentro da rede do Médio.
O principal TLD é .ygg. A maioria dos nomes de domínio possui este TLD, com duas exceções: .isp и .gg.
O buscador está em desenvolvimento, mas seu uso já é possível hoje – basta acessar o site .
Você pode ajudar no desenvolvimento do projeto, .
Medium estabeleceu uma nova autoridade de certificação, Medium Global Root CA. Quem será afetado pelas mudanças?
Ontem, foram concluídos os testes públicos da funcionalidade do centro de certificação Medium Root CA. Ao final dos testes, foram corrigidos erros no funcionamento dos serviços de infraestrutura de chave pública e criado um novo certificado raiz da autoridade certificadora “Medium Global Root CA”.
Todas as nuances e recursos do PKI foram levados em consideração - agora o novo certificado CA “Medium Global Root CA” será emitido apenas dez anos depois (após sua data de expiração). Agora, os certificados de segurança são emitidos apenas por autoridades de certificação intermediárias - por exemplo, “CA de servidor seguro de validação de domínio médio”.
Como é a cadeia de confiança de certificados agora?
O que precisa ser feito para que tudo funcione se você for usuário:
Como alguns serviços usam HSTS, antes de usar recursos de rede Médios, você deve excluir dados dos recursos de intranet Médios. Você pode fazer isso na guia Histórico do seu navegador.
Também é necessário centro de certificação "Medium Global Root CA".
O que precisa ser feito para que tudo funcione se você for operador de sistema:
Você precisa reemitir o certificado do seu serviço na página (o serviço está disponível apenas na rede Medium).
Certificados de segurança para cada casa – como criar seu próprio serviço na rede Yggdrasil e emitir um certificado SSL válido para ele
Devido ao crescimento do número de serviços de intranet na rede Medium, aumentou a necessidade de emitir novos certificados de segurança e configurar seus serviços para que suportem SSL.
Como o Habr é um recurso técnico, em cada novo resumo um dos itens da agenda revelará as características técnicas da infraestrutura da rede Média. Por exemplo, abaixo estão instruções abrangentes para emitir um certificado SSL para o seu serviço.
Os exemplos indicarão o nome de domínio domínio.ygg, que deve ser substituído pelo nome de domínio do seu serviço.
Passo 1. Gere chave privada e parâmetros Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Então:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Passo 2. Crie uma solicitação de assinatura de certificado
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confConteúdo do arquivo domínio.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Passo 3. Envie uma solicitação de certificado
Para fazer isso, copie o conteúdo do arquivo domínio.ygg.csr e cole no campo de texto do site .
Siga as instruções fornecidas no site e clique em “Enviar”. Se for bem-sucedido, uma mensagem será enviada para o endereço de e-mail especificado contendo um anexo na forma de um certificado assinado por uma autoridade de certificação intermediária.
Passo 4. Configure seu servidor web
Se você estiver usando o nginx como servidor web, use a seguinte configuração:
arquivo domínio.ygg.conf no diretório /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
arquivo ssl-params.conf no diretório /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
arquivo domínio.ygg.conf no diretório /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
O certificado que você recebeu por e-mail deve ser copiado para: /etc/ssl/certs/domain.ygg.crt. Chave privada (domínio.ygg.key) coloque-o em um diretório /etc/ssl/privado/.
Passo 5. Reinicie seu servidor web
sudo service nginx restartInternet grátis na Rússia começa com você
Você pode fornecer toda a assistência possível para o estabelecimento de uma Internet gratuita na Rússia hoje. Compilamos uma lista abrangente de exatamente como você pode ajudar a rede:
- Conte aos seus amigos e colegas sobre a rede Medium. Compartilhar para este artigo em redes sociais ou blog pessoal
- Participe da discussão de questões técnicas na rede Medium
- Crie seu serviço web na rede Yggdrasil e adicione-o ao
- Levante o seu para a rede Média
Lançamentos anteriores:
Veja também:
Nós do Telegram:
Apenas usuários registrados podem participar da pesquisa. por favor
Votação alternativa: é importante sabermos a opinião de quem não tem conta completa no Habré
-
↑
-
↓
7 usuários votaram. 2 usuários se abstiveram.
Fonte: habr.com