Slovné spojenie „národná bezpečnosť“ počujeme neustále, ale keď vláda začne monitorovať našu komunikáciu a zaznamenávať ju bez dôveryhodného podozrenia, právneho základu a bez akéhokoľvek zjavného účelu, musíme si položiť otázku: či skutočne chránia národnú bezpečnosť alebo chránia si svojich?
- Edward Snowden
Účelom tohto súhrnu je zvýšiť záujem Spoločenstva o otázku súkromia, ktorá vo svetle stáva relevantnejším ako kedykoľvek predtým.
Na programe dňa:
Nadšenci z komunity decentralizovaného poskytovateľa internetu „Medium“ si vytvárajú vlastný vyhľadávač
Medium zriadilo novú certifikačnú autoritu Medium Global Root CA. Koho sa zmeny dotknú?
Bezpečnostné certifikáty pre každú domácnosť - ako si vytvoriť vlastnú službu v sieti Yggdrasil a vydať pre ňu platný SSL certifikát
Pripomeňte mi – čo je to „stredné“?
stredná (Slovensky stredná - "sprostredkovateľ", pôvodný slogan - Nežiadajte o svoje súkromie. Vziať späť; aj v angličtine slovo strednou znamená „stredný“) - ruský decentralizovaný poskytovateľ internetu poskytujúci služby prístupu k sieti zadarmo.
Celé meno: Stredný poskytovateľ internetových služieb. Pôvodne bol projekt koncipovaný ako в .
Vznikla v apríli 2019 ako súčasť vytvorenia nezávislého telekomunikačného prostredia poskytovaním prístupu koncovým používateľom k sieťovým zdrojom Yggdrasil pomocou technológie bezdrôtového prenosu dát Wi-Fi.
Viac informácií k téme:
Nadšenci z komunity decentralizovaného poskytovateľa internetu „Medium“ si vytvárajú vlastný vyhľadávač
Pôvodne online , ktorý decentralizovaný poskytovateľ internetových služieb Medium využíva ako transport, nemal vlastný DNS server ani infraštruktúru verejných kľúčov – tieto dva problémy však vyriešila potreba vydávania bezpečnostných certifikátov pre sieťové služby Medium.
Prečo potrebujete PKI, ak Yggdrasil po vybalení poskytuje možnosť šifrovať komunikáciu medzi partnermi?Na pripojenie k webovým službám v sieti Yggdrasil nie je potrebné používať HTTPS, ak sa k nim pripojíte prostredníctvom lokálne spusteného sieťového smerovača Yggdrasil.
Skutočne: Preprava Yggdrasilu je na rovnakej úrovni umožňuje bezpečne využívať zdroje v rámci siete Yggdrasil – schopnosť dirigovať úplne vylúčené.
Situácia sa radikálne zmení, ak pristupujete k intranetovým zdrojom Yggdarsil nie priamo, ale cez medziľahlý uzol – stredný sieťový prístupový bod, ktorý spravuje jeho operátor.
V tomto prípade, kto môže kompromitovať údaje, ktoré prenášate:
- Operátor prístupového bodu. Je zrejmé, že súčasný prevádzkovateľ prístupového bodu siete Medium dokáže odpočúvať nešifrovanú prevádzku, ktorá prechádza jeho zariadením.
- votrelec (). Medium má podobný problém ako , len vo vzťahu k vstupným a medziľahlým uzlom.
Takto to vyzerá
rozhodnutie: na prístup k webovým službám v rámci siete Yggdrasil použite protokol HTTPS (úroveň 7 ). Problémom je, že nie je možné vydať pravý bezpečnostný certifikát pre sieťové služby Yggdrasil konvenčnými prostriedkami ako napr .
Preto sme založili vlastné certifikačné centrum - . Prevažná väčšina služieb v sieti Medium je podpísaná koreňovým bezpečnostným certifikátom sprostredkovateľskej certifikačnej autority Medium Domain Validation Secure Server CA.
S možnosťou kompromitácie koreňového certifikátu certifikačnej autority sa samozrejme počítalo – tu je však certifikát skôr potrebný na potvrdenie integrity prenosu dát a elimináciu možnosti MITM útokov.
Stredné sieťové služby od rôznych operátorov majú rôzne bezpečnostné certifikáty, tak či onak podpísané koreňovou certifikačnou autoritou. Operátori koreňovej CA však nedokážu odpočúvať šifrovaný prenos zo služieb, ktorým podpísali bezpečnostné certifikáty (pozri ).
Tí, ktorým ide najmä o svoju bezpečnosť, môžu ako doplnkovú ochranu použiť také prostriedky, ako napr и .
V súčasnosti má infraštruktúra verejných kľúčov siete Medium možnosť kontrolovať stav certifikátu pomocou protokolu alebo používaním .
Choďte k veci
Užívateľ začal vyvíjať vyhľadávač webových služieb umiestnených v sieti Yggdrasil. Dôležitým aspektom je skutočnosť, že zisťovanie adries IPv6 služieb pri vyhľadávaní sa vykonáva odoslaním požiadavky na server DNS umiestnený v sieti Medium.
Hlavná TLD je .ygg. Väčšina doménových mien má túto TLD, s dvoma výnimkami: .isp и .gg.
Vyhľadávač je vo vývoji, no jeho využitie je možné už dnes – stačí navštíviť webovú stránku .
Môžete pomôcť rozvoju projektu, .
Medium zriadilo novú certifikačnú autoritu Medium Global Root CA. Koho sa zmeny dotknú?
Včera bolo ukončené verejné testovanie funkčnosti certifikačného centra Medium Root CA. V závere testovania boli opravené chyby vo fungovaní služieb infraštruktúry verejných kľúčov a bol vytvorený nový koreňový certifikát certifikačnej autority „Medium Global Root CA“.
Zohľadnili sa všetky nuansy a vlastnosti PKI - teraz bude nový certifikát CA „Medium Global Root CA“ vydaný až o desať rokov neskôr (po dátume vypršania platnosti). Bezpečnostné certifikáty teraz vydávajú iba sprostredkujúce certifikačné autority – napríklad “Medium Domain Validation Secure Server CA”.
Ako teraz vyzerá reťazec dôveryhodnosti certifikátov?
Čo je potrebné urobiť, aby všetko fungovalo, ak ste používateľom:
Keďže niektoré služby používajú HSTS, pred použitím stredných sieťových zdrojov musíte vymazať údaje zo stredných intranetových zdrojov. Môžete to urobiť na karte História vášho prehliadača.
Je to tiež potrebné certifikačné centrum „Medium Global Root CA“.
Čo je potrebné urobiť, aby všetko fungovalo, ak ste systémový operátor:
Musíte znova vydať certifikát pre vašu službu na stránke (služba je dostupná len v sieti Medium).
Bezpečnostné certifikáty pre každú domácnosť - ako si vytvoriť vlastnú službu v sieti Yggdrasil a vydať pre ňu platný SSL certifikát
Vzhľadom na rast počtu intranetových služieb v sieti Medium vzrástla potreba vydávať nové bezpečnostné certifikáty a konfigurovať ich služby tak, aby podporovali SSL.
Keďže Habr je technický zdroj, v každom novom prehľade jeden z bodov programu odhalí technické vlastnosti infraštruktúry siete Medium. Nižšie sú napríklad podrobné pokyny na vydanie certifikátu SSL pre vašu službu.
Príklady budú uvádzať názov domény doména.ygg, ktorý je potrebné nahradiť názvom domény vašej služby.
Krok 1. Vygenerujte súkromný kľúč a parametre Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048potom:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Krok 2. Vytvorte žiadosť o podpis certifikátu
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confObsah súboru domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Krok 3. Odoslať žiadosť o certifikát
Ak to chcete urobiť, skopírujte obsah súboru doména.ygg.csr a vložte ho do textového poľa na stránke .
Postupujte podľa pokynov uvedených na webovej lokalite a potom kliknite na tlačidlo „Odoslať“. V prípade úspechu bude na Vami zadanú emailovú adresu odoslaná správa s prílohou vo forme certifikátu podpísaného sprostredkujúcou certifikačnou autoritou.
Krok 4. Nastavte si webový server
Ak ako webový server používate nginx, použite nasledujúcu konfiguráciu:
súbor domain.ygg.conf v adresári /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
súbor ssl-params.conf v adresári /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
súbor domain.ygg.conf v adresári /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Certifikát, ktorý ste dostali e-mailom, musíte skopírovať na: /etc/ssl/certs/domain.ygg.crt. Súkromný kľúč (doména.ygg.key) umiestnite ho do adresára /etc/ssl/private/.
Krok 5. Reštartujte webový server
sudo service nginx restartBezplatný internet v Rusku začína u vás
Dnes môžete poskytnúť všetku možnú pomoc pri zriadení bezplatného internetu v Rusku. Zostavili sme komplexný zoznam toho, ako presne môžete pomôcť sieti:
- Povedzte svojim priateľom a kolegom o sieti Medium. zdieľam k tomuto článku na sociálnych sieťach alebo osobnom blogu
- Zúčastnite sa diskusie o technických problémoch v sieti Medium
- Vytvorte si webovú službu v sieti Yggdrasil a pridajte ju do
- Zdvihnite svoje do strednej siete
Predchádzajúce vydania:
Pozri tiež:
My v Telegrame:
Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prosím.
Alternatívne hlasovanie: je pre nás dôležité poznať názor tých, ktorí nemajú plné konto na Habrého
-
↑
-
↓
Hlasovalo 7 užívateľov. 2 používatelia sa zdržali hlasovania.
Zdroj: hab.com