Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Acest rezumat are scopul de a spori interesul Comunității față de problema vieții private, care, în lumina devine mai relevantă decât oricând.
In agenda:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Amintește-mi - ce este „Medium”?
Mediu (Limba engleză Mediu - „intermediar”, slogan original - Nu-ți cere confidențialitatea. Ia-o inapoi; tot în engleză cuvântul mediu înseamnă „intermediar”) - un furnizor de internet descentralizat rus care oferă servicii de acces la rețea gratuit.
Nume complet: Medium Internet Service Provider. Inițial proiectul a fost conceput ca в .
Formată în aprilie 2019, ca parte a creării unui mediu de telecomunicații independent, oferind utilizatorilor finali acces la resursele rețelei Yggdrasil prin utilizarea tehnologiei de transmisie a datelor fără fir Wi-Fi.
Mai multe informații pe această temă:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Nu este nevoie să utilizați HTTPS pentru a vă conecta la serviciile web din rețeaua Yggdrasil dacă vă conectați la acestea printr-un router de rețea Yggdrasil care rulează local.
Într-adevăr: transportul Yggdrasil este la egalitate vă permite să utilizați în siguranță resursele din rețeaua Yggdrasil - capacitatea de a conduce complet exclus.
Situația se schimbă radical dacă accesați resursele intranet ale Yggdarsil nu direct, ci printr-un nod intermediar - punctul de acces la rețea Medium, care este administrat de operatorul său.
În acest caz, cine poate compromite datele pe care le transmiteți:
- Operator punct de acces. Este evident că actualul operator al punctului de acces la rețea Medium poate asculta cu urechea traficul necriptat care trece prin echipamentul său.
- intrus (). Medium are o problemă similară cu , numai în raport cu nodurile de intrare și intermediare.
Așa arată
decizie: pentru a accesa serviciile web din rețeaua Yggdrasil, utilizați protocolul HTTPS (nivel 7 ). Problema este că nu este posibilă eliberarea unui certificat de securitate autentic pentru serviciile de rețea Yggdrasil prin mijloace convenționale, cum ar fi .
Prin urmare, am înființat propriul nostru centru de certificare - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Posibilitatea compromiterii certificatului rădăcină al autorității de certificare a fost, desigur, luată în considerare - dar aici certificatul este mai necesar pentru a confirma integritatea transmisiei datelor și a elimina posibilitatea atacurilor MITM.
Serviciile de rețea medie de la diferiți operatori au certificate de securitate diferite, într-un fel sau altul semnate de autoritatea de certificare root. Cu toate acestea, operatorii Root CA nu pot asculta traficul criptat de la serviciile pentru care au semnat certificate de securitate (vezi ).
Cei care sunt preocupați în special de siguranța lor pot folosi mijloace precum protecție suplimentară, cum ar fi и .
În prezent, infrastructura cu chei publice a rețelei Medium are capacitatea de a verifica starea unui certificat folosind protocolul sau prin utilizare .
Treci la subiect
Utilizatorul начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
De asemenea, este necesar удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Pasul 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Atunci:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Pasul 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confConținutul fișierului domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Pasul 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Pasul 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
fișier domain.ygg.conf în director /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fișier ssl-params.conf în director /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fișier domain.ygg.conf în director /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Pasul 5. Перезапустите ваш веб-сервер
sudo service nginx restartInternetul gratuit în Rusia începe cu tine
Puteți oferi astăzi toată asistența posibilă pentru stabilirea unui internet gratuit în Rusia. Am întocmit o listă cuprinzătoare despre cum puteți ajuta rețeaua:
- Spune-le prietenilor și colegilor tăi despre rețeaua Medium. Acțiune la acest articol de pe rețelele sociale sau blogul personal
- Participați la discuțiile despre problemele tehnice din rețeaua Medium
- Creați-vă serviciul web în rețeaua Yggdrasil și adăugați-l la
- Ridică-l pe al tău către rețeaua Medium
Lansări anterioare:
A se vedea, de asemenea:
Suntem pe Telegram:
Numai utilizatorii înregistrați pot participa la sondaj. , Vă rog.
Votul alternativ: este important pentru noi să cunoaștem părerea celor care nu au un cont complet pe Habré
-
↑
-
↓
Au votat 7 utilizatori. 2 utilizatori s-au abținut.
Sursa: www.habr.com