”قومي سلامتي“ جو جملو اسان هر وقت ٻڌندا آهيون، پر جڏهن حڪومت اسان جي ڪميونيڪيشن جي نگراني ڪرڻ شروع ڪري ٿي، انهن کي بنا ڪنهن شڪ شبهي جي، قانوني بنيادن ۽ ڪنهن ظاهري مقصد جي رڪارڊ ڪرڻ شروع ڪري ٿي، ته اسان کي پاڻ کان اهو سوال ضرور پڇڻ گهرجي ته: ڇا اهي واقعي قومي سلامتي جي حفاظت ڪري رهيا آهن يا؟ ڇا اھي پنھنجي حفاظت ڪن ٿا؟
- ايڊورڊ سنوڊن
هن ڊائجسٽ جو مقصد رازداري جي مسئلي ۾ ڪميونٽي جي دلچسپي کي وڌائڻ آهي، جنهن جي روشني ۾ اڳي کان وڌيڪ لاڳاپيل بڻجي ٿو.
ايجنڊا تي:
غير مرڪزي انٽرنيٽ فراهم ڪندڙ ”ميڊيم“ جي ڪميونٽي جا شوقين پنهنجو سرچ انجڻ ٺاهي رهيا آهن
ميڊيم هڪ نئين سرٽيفڪيشن اٿارٽي قائم ڪئي آهي، ميڊيم گلوبل روٽ CA. تبديلين کان ڪير متاثر ٿيندو؟
هر گهر لاءِ سيڪيورٽي سرٽيفڪيٽ - Yggdrasil نيٽ ورڪ تي توهان جي پنهنجي سروس ڪيئن ٺاهي ۽ ان لاءِ هڪ صحيح SSL سرٽيفڪيٽ جاري ڪيو
مون کي ياد ڏياريو - "وچولي" ڇا آهي؟
وچولو (eng. وچولو - "وچولي"، اصل نعرو - توهان جي رازداري لاء نه پڇو. ان کي واپس وٺو؛ لفظ انگريزيءَ ۾ پڻ وچولي مطلب "وچولي") - هڪ روسي غير مرڪزي انٽرنيٽ فراهم ڪندڙ نيٽ ورڪ رسائي خدمتون فراهم ڪري ٿو مفت ۾.
پورو نالو: وچولي انٽرنيٽ سروس فراهم ڪندڙ. شروعاتي طور تي منصوبي جو تصور ڪيو ويو в .
اپريل 2019 ۾ ٺاهي وئي هڪ آزاد ٽيليڪميونيڪيشن ماحول جي تخليق جي حصي طور آخري صارفين کي وائي فائي وائرليس ڊيٽا ٽرانسميشن ٽيڪنالاجي جي استعمال ذريعي Yggdrasil نيٽ ورڪ وسيلن تائين رسائي فراهم ڪندي.
موضوع تي وڌيڪ معلومات:
غير مرڪزي انٽرنيٽ فراهم ڪندڙ ”ميڊيم“ جي ڪميونٽي جا شوقين پنهنجو سرچ انجڻ ٺاهي رهيا آهن
اصل ۾ آن لائن , جنهن کي decentralized انٽرنيٽ سروس فراهم ڪندڙ ميڊيم ٽرانسپورٽ جي طور تي استعمال ڪري ٿو، ان جو پنهنجو DNS سرور يا عوامي اهم انفراسٽرڪچر نه هو - جڏهن ته، وچولي نيٽ ورڪ سروسز لاءِ سيڪيورٽي سرٽيفڪيٽ جاري ڪرڻ جي ضرورت انهن ٻن مسئلن کي حل ڪيو.
توهان کي PKI جي ضرورت ڇو آهي جيڪڏهن Yggdrasil آئوٽ آف دي باڪس توهان جي ساٿين جي وچ ۾ ٽريفڪ کي انڪرپٽ ڪرڻ جي صلاحيت فراهم ڪري ٿي؟Yggdrasil نيٽ ورڪ تي ويب سروسز سان ڳنڍڻ لاءِ HTTPS استعمال ڪرڻ جي ڪا ضرورت ناهي جيڪڏهن توهان مقامي طور تي هلندڙ Yggdrasil نيٽ ورڪ روٽر ذريعي انهن سان ڳنڍيو ٿا.
درحقيقت: Yggdrasil ٽرانسپورٽ برابر آهي توهان کي Yggdrasil نيٽ ورڪ ۾ وسيلن کي محفوظ طور تي استعمال ڪرڻ جي اجازت ڏئي ٿي - ڪم ڪرڻ جي صلاحيت مڪمل طور تي خارج ٿيل.
صورتحال بنيادي طور تي تبديل ٿي ويندي آهي جيڪڏهن توهان Yggdarsil جي انٽرنيٽ وسيلن تائين رسائي ڪريو ٿا سڌو سنئون نه، پر هڪ وچولي نوڊ ذريعي - وچولي نيٽ ورڪ رسائي پوائنٽ، جيڪو ان جي آپريٽر طرفان منظم ڪيو ويندو آهي.
انهي صورت ۾، ڪير سمجهي سگهي ٿو جيڪو توهان ڊيٽا کي منتقل ڪري ٿو:
- رسائي پوائنٽ آپريٽر. اهو واضع آهي ته وچولي نيٽ ورڪ جي رسائي واري پوائنٽ جو موجوده آپريٽر غير محفوظ ٿيل ٽرئفڪ کي ڏسي سگھي ٿو جيڪو ان جي سامان مان گذري ٿو.
- مداخلت ڪندڙ (). وچولي سان گڏ ھڪڙو مسئلو آھي صرف ان پٽ ۽ وچولي نوڊس جي حوالي سان.
اھو اھو آھي جيڪو ڏسڻ ۾ اچي ٿو
فيصلو: Yggdrasil نيٽ ورڪ ۾ ويب سروسز تائين رسائي حاصل ڪرڻ لاءِ، استعمال ڪريو HTTPS پروٽوڪول (سطح 7 ). مسئلو اهو آهي ته اهو ممڪن ناهي ته Yggdrasil نيٽ ورڪ سروسز لاءِ حقيقي سيڪيورٽي سرٽيفڪيٽ جاري ڪرڻ روايتي ذريعن جهڙوڪ .
تنهن ڪري، اسان پنهنجو سرٽيفڪيشن سينٽر قائم ڪيو. . وچولي نيٽ ورڪ سروسز جي وڏي اڪثريت وچولي سرٽيفڪيشن اٿارٽي جي روٽ سيڪيورٽي سرٽيفڪيٽ طرفان دستخط ٿيل آهن “ميڊيم ڊومين جي تصديق محفوظ سرور CA”.
سرٽيفڪيشن اٿارٽي جي روٽ سرٽيفڪيٽ سان سمجهوتو ڪرڻ جو امڪان، يقينا، اڪائونٽ ۾ ورتو ويو - پر هتي سرٽيفڪيٽ ڊيٽا جي منتقلي جي سالميت جي تصديق ڪرڻ ۽ MITM حملن جي امڪان کي ختم ڪرڻ لاء وڌيڪ ضروري آهي.
مختلف آپريٽرز کان وچولي نيٽ ورڪ خدمتون مختلف حفاظتي سرٽيفڪيٽ آهن، هڪ طريقو يا ٻيو روٽ سرٽيفڪيشن اٿارٽي پاران دستخط ٿيل. جڏهن ته، روٽ CA آپريٽرس انڪريپٽ ٿيل ٽريفڪ کي انهن خدمتن کان ڳولهي نه سگهندا آهن جن لاءِ انهن سيڪيورٽي سرٽيفڪيٽ تي دستخط ڪيا آهن (ڏسو ).
جيڪي خاص طور تي انهن جي حفاظت جي باري ۾ پريشان آهن اهي اضافي تحفظ جي طور تي اهڙي وسيلا استعمال ڪري سگهن ٿيون، جهڙوڪ и .
في الحال، وچولي نيٽ ورڪ جي عوامي بنيادي زيربنا کي پروٽوڪول استعمال ڪندي سرٽيفڪيٽ جي حيثيت کي جانچڻ جي صلاحيت آهي. يا استعمال ذريعي .
نقطي تي وڃو
استعمال ڪندڙ Yggdrasil نيٽ ورڪ تي واقع ويب سروسز لاءِ سرچ انجڻ ٺاهڻ شروع ڪيو. هڪ اهم پاسو حقيقت اها آهي ته IPv6 جي خدمتن جي پتي جو تعين ڪرڻ جڏهن هڪ ڳولا انجام ڏنو آهي هڪ DNS سرور تي هڪ درخواست موڪلڻ ذريعي وچولي نيٽ ورڪ اندر واقع.
مکيه TLD آهي .يگ. اڪثر ڊومين جا نالا هي TLD آهن، ٻن استثنان سان: .isp и .gg.
سرچ انجڻ ترقي هيٺ آهي، پر ان جو استعمال اڄ ئي ممڪن آهي - صرف ويب سائيٽ جو دورو ڪريو .
توھان منصوبي جي ترقي ۾ مدد ڪري سگھو ٿا، .
ميڊيم هڪ نئين سرٽيفڪيشن اٿارٽي قائم ڪئي آهي، ميڊيم گلوبل روٽ CA. تبديلين کان ڪير متاثر ٿيندو؟
ڪالهه، وچولي روٽ CA سرٽيفڪيشن سينٽر جي ڪارڪردگي جي عوامي جاچ مڪمل ڪئي وئي. جاچ جي آخر ۾، عوامي ڪيئي انفراسٽرڪچر سروسز جي آپريشن ۾ غلطيون درست ڪيون ويون ۽ سرٽيفڪيشن اٿارٽي جو نئون روٽ سرٽيفڪيٽ ”ميڊيم گلوبل روٽ CA“ ٺاھيو ويو.
PKI جي سڀني نونسن ۽ خاصيتن کي حساب ۾ ورتو ويو - هاڻي نئون CA سرٽيفڪيٽ "ميڊيم گلوبل روٽ CA" صرف ڏهن سالن بعد جاري ڪيو ويندو (ان جي ختم ٿيڻ جي تاريخ کان پوء). ھاڻي سيڪيورٽي سرٽيفڪيٽ جاري ڪيا ويا آھن صرف وچولي سرٽيفڪيشن اختيارين پاران - مثال طور، "ميڊيم ڊومين جي تصديق محفوظ سرور CA".
سرٽيفڪيٽ اعتماد واري زنجير هاڻي ڇا نظر اچي ٿي؟
جيڪڏهن توهان صارف آهيو ته هر شي کي ڪم ڪرڻ لاءِ ڇا ڪرڻ جي ضرورت آهي:
جيئن ته ڪجھ خدمتون HSTS استعمال ڪن ٿيون، وچولي نيٽ ورڪ وسيلن کي استعمال ڪرڻ کان اڳ، توھان کي لازمي طور تي ميڊيم انٽرنيٽ وسيلن مان ڊيٽا حذف ڪرڻ گھرجي. توھان ھي ڪري سگھو ٿا توھان جي برائوزر جي تاريخ ٽئب ۾.
اهو پڻ ضروري آهي سرٽيفڪيشن سينٽر "ميڊيم گلوبل روٽ CA".
جيڪڏهن توهان سسٽم آپريٽر آهيو ته هر شي کي ڪم ڪرڻ لاءِ ڇا ڪرڻ جي ضرورت آهي:
توھان کي صفحي تي توھان جي خدمت لاءِ سند ٻيهر جاري ڪرڻ جي ضرورت آھي (سروس صرف ميڊيم نيٽ ورڪ تي موجود آهي).
هر گهر لاءِ سيڪيورٽي سرٽيفڪيٽ - Yggdrasil نيٽ ورڪ تي توهان جي پنهنجي سروس ڪيئن ٺاهي ۽ ان لاءِ هڪ صحيح SSL سرٽيفڪيٽ جاري ڪيو
وچولي نيٽ ورڪ تي انٽرنيٽ سروسز جي تعداد ۾ واڌ جي ڪري، نوان سيڪيورٽي سرٽيفڪيٽ جاري ڪرڻ ۽ انهن جي خدمتن کي ترتيب ڏيڻ جي ضرورت آهي ته جيئن اهي SSL کي سپورٽ ڪن.
جيئن ته Habr هڪ ٽيڪنيڪل وسيلو آهي، هر نئين ڊائجسٽ ۾ ايجنڊا جي شين مان هڪ کي ظاهر ڪندو وچولي نيٽ ورڪ انفراسٽرڪچر جي ٽيڪنيڪل خاصيتون. مثال طور، ھيٺ ڏنل آھن جامع ھدايتون جاري ڪرڻ لاءِ SSL سرٽيفڪيٽ جاري ڪرڻ لاءِ توھان جي خدمت.
مثال ڊومين نالو ظاهر ڪندو domain.ygg، جيڪو توهان جي خدمت جي ڊومين جي نالي سان تبديل ٿيڻ گهرجي.
1 قدم. پرائيويٽ ڪيچ ۽ ڊيفي-هيلمن پيٽرولر ٺاھيو
openssl genrsa -out domain.ygg.key 2048پوء:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482 قدم. هڪ سرٽيفڪيٽ سائن ان درخواست ٺاهيو
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confفائل مواد domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 قدم. سرٽيفڪيٽ جي درخواست داخل ڪريو
هن کي ڪرڻ لاء، فائل جي مواد کي نقل ڪريو domain.ygg.csr ۽ ان کي سائيٽ تي ٽيڪسٽ فيلڊ ۾ پيسٽ ڪريو .
ويب سائيٽ تي ڏنل هدايتن تي عمل ڪريو، پوء "جمع ڪريو" تي ڪلڪ ڪريو. جيڪڏهن ڪامياب ٿيو، هڪ پيغام موڪليو ويندو اي ميل پتي تي جيڪو توهان بيان ڪيو آهي هڪ منسلڪ هڪ سند جي صورت ۾ جنهن ۾ هڪ وچولي سرٽيفڪيشن اٿارٽي طرفان دستخط ٿيل آهي.
4 قدم. پنھنجي ويب سرور کي سيٽ ڪريو
جيڪڏھن توھان استعمال ڪري رھيا آھيو nginx پنھنجي ويب سرور جي طور تي، ھيٺ ڏنل تشڪيل استعمال ڪريو:
فائيل domain.ygg.conf ڊاريڪٽري ۾ /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
فائيل ssl-params.conf ڊاريڪٽري ۾ /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
فائيل domain.ygg.conf ڊاريڪٽري ۾ /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
سرٽيفڪيٽ جيڪو توهان اي ميل ذريعي حاصل ڪيو آهي ان کي نقل ڪيو وڃي: /etc/ssl/certs/domain.ygg.crt. خانگي چاٻي (domain.ygg.key) ان کي ڊاريڪٽري ۾ رکو /etc/ssl/private/.
5 قدم. پنهنجو ويب سرور ٻيهر شروع ڪريو
sudo service nginx restartروس ۾ مفت انٽرنيٽ توهان سان شروع ٿئي ٿي
توهان اڄ روس ۾ مفت انٽرنيٽ جي قيام لاءِ هر ممڪن مدد ڪري سگهو ٿا. اسان هڪ جامع فهرست مرتب ڪيو آهي ته توهان ڪيئن نيٽ ورڪ جي مدد ڪري سگهو ٿا:
- وچولي نيٽ ورڪ بابت پنهنجن دوستن ۽ ساٿين کي ٻڌايو. حصيداري ڪريو سماجي نيٽ ورڪن يا ذاتي بلاگ تي هن آرٽيڪل ڏانهن
- وچولي نيٽ ورڪ تي ٽيڪنيڪل مسئلن جي بحث ۾ حصو وٺو
- Yggdrasil نيٽ ورڪ تي پنھنجي ويب سروس ٺاھيو ۽ ان ۾ شامل ڪريو
- پنهنجو بلند ڪريو وچولي نيٽ ورڪ ڏانهن
اڳيون رليز:
پڻ پڙهو:
اسان ٽيليگرام تي آهيون:
صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. ، توهان جي مهرباني.
متبادل ووٽنگ: اسان لاءِ ضروري آهي ته انهن جي راءِ کي ڄاڻون جن وٽ Habré تي مڪمل اڪائونٽ نه آهي
-
↑
-
↓
7 صارفين ووٽ ڪيو. 2 استعمال ڪندڙن کي روڪيو ويو.
جو ذريعو: www.habr.com