“ජාතික ආරක්ෂාව” යන වාක්ය ඛණ්ඩය අපට නිතරම ඇසෙන නමුත් රජය අපගේ සන්නිවේදනයන් නිරීක්ෂණය කිරීමට පටන් ගන්නා විට, විශ්වාසදායක සැකයකින් තොරව, නීතිමය පදනමකින් සහ කිසිදු පැහැදිලි අරමුණකින් තොරව ඒවා පටිගත කිරීම, අපි අපෙන්ම ප්රශ්න කළ යුතුය: ඔවුන් සැබවින්ම ජාතික ආරක්ෂාව ආරක්ෂා කරන්නේද? ඔවුන් තමන්ගේම අයව ආරක්ෂා කරනවාද?
- එඩ්වඩ් ස්නෝඩන්
මෙම සංග්රහය පුද්ගලිකත්වය පිළිබඳ ප්රශ්නය සම්බන්ධයෙන් ප්රජාවගේ උනන්දුව වැඩි කිරීමට අදහස් කරන අතර, වෙන කවරදාකටත් වඩා අදාළ වේ.
න්යාය පත්රයේ:
විමධ්යගත අන්තර්ජාල සැපයුම්කරු "මධ්යම" ප්රජාවේ උද්යෝගිමත් අය ඔවුන්ගේම සෙවුම් යන්ත්රයක් නිර්මාණය කරති.
Medium විසින් නව සහතික කිරීමේ අධිකාරියක් පිහිටුවා ඇත, Medium Global Root CA. වෙනස්කම් බලපාන්නේ කාටද?
සෑම නිවසක් සඳහාම ආරක්ෂක සහතික - Yggdrasil ජාලයේ ඔබේම සේවාවක් නිර්මාණය කර ඒ සඳහා වලංගු SSL සහතිකයක් නිකුත් කරන්නේ කෙසේද?
මට මතක් කරන්න - "මධ්යම" යනු කුමක්ද?
මධ්යම (Eng. මධ්යම - "මැදියා", මුල් සටන් පාඨය - ඔබේ පෞද්ගලිකත්වය ඉල්ලන්න එපා. එය ආපසු ගන්න; ඉංග්රීසි වචනය ද මධ්යම "අතරමැදි" යන්නයි) - ජාල ප්රවේශ සේවා සපයන රුසියානු විමධ්යගත අන්තර්ජාල සැපයුම්කරු නොමිලේ.
සම්පූර්ණ නම: මධ්යම අන්තර්ජාල සේවා සපයන්නා. මුලදී ව්යාපෘතිය සංකල්පනය කරන ලදී в .
Wi-Fi රැහැන් රහිත දත්ත සම්ප්රේෂණ තාක්ෂණය භාවිතයෙන් අවසාන පරිශීලකයින්ට Yggdrasil ජාල සම්පත් වෙත ප්රවේශය ලබා දීමෙන් ස්වාධීන විදුලි සංදේශ පරිසරයක් නිර්මාණය කිරීමේ කොටසක් ලෙස 2019 අප්රේල් මාසයේදී පිහිටුවන ලදී.
මාතෘකාව පිළිබඳ වැඩි විස්තර:
විමධ්යගත අන්තර්ජාල සැපයුම්කරු "මධ්යම" ප්රජාවේ උද්යෝගිමත් අය ඔවුන්ගේම සෙවුම් යන්ත්රයක් නිර්මාණය කරති.
මුලින් ඔන්ලයින් , විමධ්යගත අන්තර්ජාල සේවා සපයන්නා වන මාධ්යය ප්රවාහනයක් ලෙස භාවිතා කරයි, එයට තමන්ගේම DNS සේවාදායකයක් හෝ පොදු යතුරු යටිතල පහසුකම් නොතිබුණි - කෙසේ වෙතත්, මධ්යම ජාල සේවා සඳහා ආරක්ෂක සහතික නිකුත් කිරීමේ අවශ්යතාවය මෙම ගැටළු දෙක විසඳීය.
පෙට්ටියෙන් පිටත Yggdrasil සම වයසේ මිතුරන් අතර ගමනාගමනය සංකේතනය කිරීමේ හැකියාව ලබා දෙන්නේ නම් ඔබට PKI අවශ්ය වන්නේ ඇයි?ඔබ දේශීයව ක්රියාත්මක වන Yggdrasil ජාල රවුටරයක් හරහා ඒවාට සම්බන්ධ වන්නේ නම් Yggdrasil ජාලයේ වෙබ් සේවා වෙත සම්බන්ධ වීමට HTTPS භාවිතා කිරීමට අවශ්ය නොවේ.
ඇත්ත වශයෙන්ම: Yggdrasil ප්රවාහනය සමාන වේ Yggdrasil ජාලය තුළ සම්පත් ආරක්ෂිතව භාවිතා කිරීමට ඔබට ඉඩ සලසයි - හැසිරීමේ හැකියාව සම්පූර්ණයෙන්ම බැහැර කර ඇත.
ඔබ Yggdarsil හි අභ්යන්තර සම්පත් වෙත සෘජුවම නොව අතරමැදි නෝඩයක් හරහා ප්රවේශ වන්නේ නම් තත්වය රැඩිකල් ලෙස වෙනස් වේ - එහි ක්රියාකරු විසින් පරිපාලනය කරනු ලබන මධ්යම ජාල ප්රවේශ ලක්ෂ්යය.
මෙම අවස්ථාවේදී, ඔබ සම්ප්රේෂණය කරන දත්ත සම්මුතියට පත් කළ හැක්කේ කාටද:
- ප්රවේශ ලක්ෂ්ය ක්රියාකරු. මධ්යම ජාල ප්රවේශ ලක්ෂ්යයේ වත්මන් ක්රියාකරුට එහි උපකරණ හරහා ගමන් කරන සංකේතනය නොකළ ගමනාගමනයට සවන් දිය හැකි බව පැහැදිලිය.
- අනවසරයෙන් ඇතුල් වන්නා () මාධ්යයට සමාන ගැටලුවක් ඇත , ආදාන සහ අතරමැදි නෝඩ් සම්බන්ධයෙන් පමණි.
එය පෙනෙන්නේ මෙයයි
තීරණය: Yggdrasil ජාලය තුළ වෙබ් සේවාවන් වෙත ප්රවේශ වීමට, HTTPS ප්රොටෝකෝලය භාවිතා කරන්න (7 වන මට්ටම ) ගැටලුව වන්නේ Yggdrasil ජාල සේවා සඳහා සැබෑ ආරක්ෂක සහතිකයක් නිකුත් කිරීම වැනි සාමාන්ය ක්රම හරහා කළ නොහැකි වීමයි. .
එබැවින්, අපි අපේම සහතික කිරීමේ මධ්යස්ථානයක් ස්ථාපිත කළෙමු - . මධ්යම ජාලයේ සේවාවන්ගෙන් අතිමහත් බහුතරයක් අත්සන් කර ඇත්තේ අතරමැදි සහතික කිරීමේ අධිකාරියේ මධ්යම වසම් වලංගු කිරීමේ ආරක්ෂිත සේවාදායකය CA හි මූල ආරක්ෂණ සහතිකය මගිනි.
සහතික කිරීමේ අධිකාරියේ මූල සහතිකය සම්මුතියට පත් කිරීමේ හැකියාව, ඇත්ත වශයෙන්ම, සැලකිල්ලට ගන්නා ලදී - නමුත් මෙහි දත්ත හුවමාරු කිරීමේ අඛණ්ඩතාව තහවුරු කිරීමට සහ MITM ප්රහාරයන්ගේ හැකියාව ඉවත් කිරීමට සහතිකය වඩාත් අවශ්ය වේ.
විවිධ ක්රියාකරුවන්ගෙන් මධ්යම ජාල සේවාවන්ට විවිධ ආරක්ෂක සහතික ඇත, එක් ආකාරයකින් හෝ වෙනත් මූල සහතික කිරීමේ අධිකාරිය විසින් අත්සන් කර ඇත. කෙසේ වෙතත්, Root CA ක්රියාකරුවන්ට ඔවුන් ආරක්ෂක සහතික අත්සන් කර ඇති සේවාවන්ගෙන් ගුප්තකේතනය කළ ගමනාගමනයට හොරෙන් සවන් දීමට නොහැක (බලන්න ).
ඔවුන්ගේ ආරක්ෂාව ගැන විශේෂයෙන් සැලකිලිමත් වන අයට අතිරේක ආරක්ෂාවක් වැනි එවැනි ක්රම භාවිතා කළ හැකිය и .
දැනට, මධ්යම ජාලයේ පොදු යතුරු යටිතල ව්යුහයට ප්රොටෝකෝලය භාවිතයෙන් සහතිකයක තත්ත්වය පරීක්ෂා කිරීමේ හැකියාව ඇත. හෝ භාවිතය හරහා .
කාරණයට එන්න
පරිශීලක Yggdrasil ජාලය මත පිහිටා ඇති වෙබ් සේවා සඳහා සෙවුම් යන්ත්රයක් සංවර්ධනය කිරීම ආරම්භ කළේය. වැදගත් අංගයක් වන්නේ සෙවුමක් සිදු කරන විට සේවාවල IPv6 ලිපින තීරණය කිරීම මධ්යම ජාලය තුළ පිහිටා ඇති DNS සේවාදායකයකට ඉල්ලීමක් යැවීමෙන් සිදු කිරීමයි.
ප්රධාන TLD වේ .ygg. බොහෝ වසම් නාමවල මෙම TLD ඇත, ව්යතිරේක දෙකක් ඇත: .isp и .gg.
සෙවුම් යන්ත්රය සංවර්ධනය වෙමින් පවතී, නමුත් එහි භාවිතය අද දැනටමත් හැකි ය - වෙබ් අඩවියට පිවිසෙන්න .
ව්යාපෘතියේ සංවර්ධනය සඳහා ඔබට උදව් කළ හැකිය, .
Medium විසින් නව සහතික කිරීමේ අධිකාරියක් පිහිටුවා ඇත, Medium Global Root CA. වෙනස්කම් බලපාන්නේ කාටද?
ඊයේ, මධ්යම මූල CA සහතික කිරීමේ මධ්යස්ථානයේ ක්රියාකාරීත්වය පිළිබඳ මහජන පරීක්ෂාව අවසන් කරන ලදී. පරීක්ෂණය අවසානයේ, පොදු යතුරු යටිතල පහසුකම් සේවා ක්රියාත්මක කිරීමේදී දෝෂ නිවැරදි කරන ලද අතර "Medium Global Root CA" සහතික කිරීමේ අධිකාරියේ නව මූල සහතිකයක් නිර්මාණය කරන ලදී.
PKI හි සියලුම සූක්ෂ්මතා සහ විශේෂාංග සැලකිල්ලට ගෙන ඇත - දැන් නව CA සහතිකය "Medium Global Root CA" නිකුත් කරනු ලබන්නේ වසර දහයකට පසුවය (එහි කල් ඉකුත් වූ දිනට පසුව). දැන් ආරක්ෂක සහතික නිකුත් කරනු ලබන්නේ අතරමැදි සහතික කිරීමේ බලධාරීන් විසින් පමණි - උදාහරණයක් ලෙස, "මධ්යම වසම් වලංගු කිරීමේ ආරක්ෂිත සේවාදායකය CA".
සහතික භාර දාමය දැන් පෙනෙන්නේ කෙසේද?
ඔබ පරිශීලකයෙකු නම් සෑම දෙයක්ම ක්රියාත්මක වීමට කළ යුතු දේ:
සමහර සේවාවන් HSTS භාවිතා කරන බැවින්, මධ්යම ජාල සම්පත් භාවිතා කිරීමට පෙර, ඔබ මධ්යම අන්තර් ජාල සම්පත් වලින් දත්ත මකා දැමිය යුතුය. ඔබට මෙය ඔබගේ බ්රවුසරයේ ඉතිහාස පටිත්තෙහි කළ හැක.
එය ද අවශ්ය වේ "Medium Global Root CA" සහතික කිරීමේ මධ්යස්ථානය.
ඔබ පද්ධති ක්රියාකරුවෙකු නම් සියල්ල ක්රියාත්මක කිරීමට කළ යුතු දේ:
පිටුවෙහි ඔබගේ සේවාව සඳහා සහතිකය නැවත නිකුත් කිරීමට ඔබට අවශ්ය වේ (සේවාව ලබා ගත හැක්කේ මධ්යම ජාලයේ පමණි).
සෑම නිවසක් සඳහාම ආරක්ෂක සහතික - Yggdrasil ජාලයේ ඔබේම සේවාවක් නිර්මාණය කර ඒ සඳහා වලංගු SSL සහතිකයක් නිකුත් කරන්නේ කෙසේද?
මධ්යම ජාලයේ අභ්යන්තර ජාල සේවා සංඛ්යාවේ වර්ධනය හේතුවෙන්, නව ආරක්ෂක සහතික නිකුත් කිරීමේ අවශ්යතාවය සහ SSL සඳහා සහය වන පරිදි ඔවුන්ගේ සේවාවන් සැකසීමේ අවශ්යතාවය වැඩි වී ඇත.
Habr යනු තාක්ෂණික සම්පතක් වන බැවින්, සෑම නව ජීරණයකදීම එක් න්යාය පත්ර අයිතමයක් මධ්යම ජාල යටිතල ව්යුහයේ තාක්ෂණික ලක්ෂණ හෙළි කරයි. උදාහරණයක් ලෙස, ඔබගේ සේවාව සඳහා SSL සහතිකයක් නිකුත් කිරීම සඳහා විස්තීර්ණ උපදෙස් පහත දැක්වේ.
උදාහරණ ඩොමේන් නාමය දක්වයි domain.ygg, එය ඔබගේ සේවාවේ වසම් නාමයෙන් ප්රතිස්ථාපනය කළ යුතුය.
1 පියවර. පුද්ගලික යතුර සහ Diffie-Hellman පරාමිති උත්පාදනය කරන්න
openssl genrsa -out domain.ygg.key 2048එවිට:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482 පියවර. සහතික අත්සන් කිරීමේ ඉල්ලීමක් සාදන්න
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confගොනු අන්තර්ගතය domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 පියවර. සහතික ඉල්ලීමක් ඉදිරිපත් කරන්න
මෙය සිදු කිරීම සඳහා, ගොනුවේ අන්තර්ගතය පිටපත් කරන්න domain.ygg.csr සහ එය වෙබ් අඩවියේ පෙළ ක්ෂේත්රයට අලවන්න .
වෙබ් අඩවියේ දක්වා ඇති උපදෙස් අනුගමනය කරන්න, ඉන්පසු "ඉදිරිපත් කරන්න" ක්ලික් කරන්න. සාර්ථක නම්, අතරමැදි සහතික කිරීමේ අධිකාරියක් විසින් අත්සන් කරන ලද සහතිකයක ස්වරූපයෙන් ඇමුණුමක් ඇතුළත් පණිවිඩයක් ඔබ සඳහන් කළ විද්යුත් තැපැල් ලිපිනයට යවනු ලැබේ.
4 පියවර. ඔබගේ වෙබ් සේවාදායකය සකසන්න
ඔබ ඔබේ වෙබ් සේවාදායකය ලෙස nginx භාවිතා කරන්නේ නම්, පහත වින්යාසය භාවිතා කරන්න:
ගොනුව domain.ygg.conf නාමාවලියෙහි /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
ගොනුව ssl-params.conf නාමාවලියෙහි /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ගොනුව domain.ygg.conf නාමාවලියෙහි /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
ඔබට විද්යුත් තැපෑලෙන් ලැබුණු සහතිකය පිටපත් කළ යුත්තේ: /etc/ssl/certs/domain.ygg.crt. පුද්ගලික යතුර (domain.ygg.key) එය නාමාවලියක තබන්න /etc/ssl/private/.
5 පියවර. ඔබගේ වෙබ් සේවාදායකය නැවත ආරම්භ කරන්න
sudo service nginx restartරුසියාවේ නොමිලේ අන්තර්ජාලය ඔබ සමඟ ආරම්භ වේ
අද රුසියාවේ නොමිලේ අන්තර්ජාලයක් ස්ථාපිත කිරීම සඳහා ඔබට හැකි සෑම සහයෝගයක්ම ලබා දිය හැකිය. ඔබට ජාලයට උපකාර කළ හැකි ආකාරය පිළිබඳ සම්පූර්ණ ලැයිස්තුවක් අපි සම්පාදනය කර ඇත්තෙමු:
- මධ්යම ජාලය ගැන ඔබේ මිතුරන්ට සහ සගයන්ට කියන්න. බෙදාගන්න සමාජ ජාල හෝ පුද්ගලික බ්ලොග් අඩවියේ මෙම ලිපියට
- මධ්යම ජාලයේ තාක්ෂණික ගැටළු පිළිබඳ සාකච්ඡාවට සහභාගී වන්න
- Yggdrasil ජාලයේ ඔබේ වෙබ් සේවාව සාදා එය එකතු කරන්න
- ඔබේ ඔසවන්න මධ්යම ජාලයට
පෙර නිකුතු:
කියවන්න:
අපි ටෙලිග්රාම් එකේ:
සමීක්ෂණයට සහභාගී විය හැක්කේ ලියාපදිංචි පරිශීලකයින්ට පමණි. කරුණාකර.
විකල්ප ඡන්දය: Habré හි සම්පූර්ණ ගිණුමක් නොමැති අයගේ මතය දැන ගැනීම අපට වැදගත් වේ
-
↑
-
↓
පරිශීලකයින් 7 දෙනෙක් ඡන්දය දුන්හ. පරිශීලකයින් 2 දෙනෙක් ඡන්දය දීමෙන් වැළකී සිටියහ.
මූලාශ්රය: www.habr.com