ProHoster > Blog > Uprava > Srednji tedenski povzetek št. 5 (9. – 16. avgust 2019)
Srednji tedenski povzetek št. 5 (9. – 16. avgust 2019)
Besedno zvezo »nacionalna varnost« poslušamo ves čas, a ko vlada začne nadzirati naše komunikacije, jih snemati brez verodostojnega suma, pravne podlage in brez očitnega namena, se moramo vprašati: ali res varujejo nacionalno varnost oz. varujejo svoje?
- Edward Snowden
Ta povzetek je namenjen povečanju zanimanja Skupnosti za vprašanje zasebnosti, ki v luči zadnji dogodki postane bolj relevanten kot kdaj koli prej.
Na dnevnem redu:
Entuziasti iz skupnosti decentraliziranega internetnega ponudnika "Medium" ustvarjajo svoj iskalnik
Medium je ustanovil nov certifikacijski organ, Medium Global Root CA. Na koga bodo spremembe vplivale?
Varnostni certifikati za vsak dom - kako ustvariti lastno storitev v omrežju Yggdrasil in zanjo izdati veljavno SSL potrdilo
Opomni me - kaj je "srednje"?
srednje (Angleščina srednje - "posrednik", izvirni slogan - Ne sprašuj po svoji zasebnosti. Vzeti nazaj; tudi v angleščini beseda srednje pomeni "vmesni") - ruski decentralizirani internetni ponudnik, ki ponuja storitve dostopa do omrežja Yggdrasil zastonj.
Oblikovano aprila 2019 kot del oblikovanja neodvisnega telekomunikacijskega okolja z zagotavljanjem dostopa končnim uporabnikom do virov omrežja Yggdrasil z uporabo tehnologije brezžičnega prenosa podatkov Wi-Fi.
Entuziasti iz skupnosti decentraliziranega internetnega ponudnika "Medium" ustvarjajo svoj iskalnik
Prvotno na spletu Yggdrasil, ki ga decentralizirani ponudnik internetnih storitev Medium uporablja kot transport, ni imel lastnega strežnika DNS ali infrastrukture javnih ključev – vendar je potreba po izdaji varnostnih certifikatov za omrežne storitve Medium rešila ta dva problema.
Zakaj potrebujete PKI, če Yggdrasil takoj po namestitvi ponuja možnost šifriranja prometa med vrstniki?Za povezavo s spletnimi storitvami v omrežju Yggdrasil ni treba uporabljati HTTPS, če se z njimi povežete prek lokalno delujočega omrežnega usmerjevalnika Yggdrasil.
Resnično: prevoz Yggdrasil je na nivoju protokol vam omogoča varno uporabo virov v omrežju Yggdrasil – sposobnost vodenja MITM napadi popolnoma izključena.
Situacija se radikalno spremeni, če do intranetnih virov Yggdarsil dostopate ne neposredno, temveč prek vmesnega vozlišča - dostopne točke srednjega omrežja, ki jo upravlja njegov operater.
Kdo lahko v tem primeru ogrozi podatke, ki jih posredujete:
Operater dostopne točke. Očitno je, da lahko trenutni operater dostopne točke srednjega omrežja posluša nešifriran promet, ki poteka skozi njegovo opremo.
odločitev: za dostop do spletnih storitev v omrežju Yggdrasil uporabite protokol HTTPS (nivo 7 modeli OSI). Težava je v tem, da ni mogoče izdati pristnega varnostnega potrdila za omrežne storitve Yggdrasil z običajnimi sredstvi, kot je Let's Encrypt.
Zato smo ustanovili lasten certifikacijski center – "Srednji globalni korenski CA". Velika večina omrežnih storitev Medium je podpisana s korenskim varnostnim potrdilom vmesnega overitelja potrdil »Medium Domain Validation Secure Server CA«.
Možnost ogrožanja korenskega potrdila overitelja je bila seveda upoštevana – vendar je tu potrdilo bolj potrebno za potrditev integritete prenosa podatkov in odpravo možnosti MITM napadov.
Srednje omrežne storitve različnih operaterjev imajo različne varnostne certifikate, tako ali drugače podpisane s strani korenskega overitelja. Vendar operaterji korenskih CA ne morejo prisluškovati šifriranemu prometu storitev, katerim so podpisali varnostna potrdila (glejte "Kaj je CSR?").
Tisti, ki jih še posebej skrbi njihova varnost, lahko takšna sredstva uporabijo kot dodatno zaščito, kot je npr PGP и podobno.
Trenutno ima infrastruktura javnih ključev omrežja Medium možnost preverjanja statusa potrdila z uporabo protokola OCSP ali z uporabo C.R.L..
Pojdi na stvar
Uporabnik @NXShock začel razvijati iskalnik za spletne storitve, ki se nahajajo v omrežju Yggdrasil. Pomemben vidik je dejstvo, da se določitev naslovov IPv6 storitev pri izvajanju iskanja izvaja s pošiljanjem zahteve strežniku DNS, ki se nahaja znotraj omrežja Medium.
Glavni TLD je .ygg. Večina imen domen ima ta TLD, z dvema izjemama: .isp и .gg.
Iskalnik je v razvoju, vendar je njegova uporaba možna že danes – le obiščite spletno stran search.medium.isp.
Medium je ustanovil nov certifikacijski organ, Medium Global Root CA. Na koga bodo spremembe vplivale?
Včeraj se je zaključilo javno testiranje funkcionalnosti certifikacijskega centra Medium Root CA. Ob koncu testiranja so bile odpravljene napake v delovanju infrastrukturnih storitev javnih ključev in izdelano novo korensko potrdilo overitelja »Medium Global Root CA«.
Upoštevane so bile vse nianse in značilnosti PKI - zdaj bo novo potrdilo CA "Medium Global Root CA" izdano šele deset let kasneje (po datumu poteka). Zdaj varnostna potrdila izdajajo samo vmesni certifikacijski organi - na primer »Medium Domain Validation Secure Server CA«.
Kako je zdaj videti veriga zaupanja certifikatov?
Kaj je treba storiti, da vse deluje, če ste uporabnik:
Ker nekatere storitve uporabljajo HSTS, morate pred uporabo omrežnih virov Medium izbrisati podatke iz intranetnih virov Medium. To lahko storite na zavihku Zgodovina v brskalniku.
Prav tako je potrebno namestite novo potrdilo certifikacijski center "Medium Global Root CA".
Kaj je treba storiti, da bo vse delovalo, če ste sistemski operater:
Za svojo storitev na strani morate znova izdati potrdilo pki.medium.isp (storitev je na voljo samo v omrežju Medium).
Varnostni certifikati za vsak dom - kako ustvariti lastno storitev v omrežju Yggdrasil in zanjo izdati veljavno SSL potrdilo
Zaradi naraščanja števila intranetnih storitev v omrežju Medium se je povečala potreba po izdaji novih varnostnih certifikatov in konfiguraciji njihovih storitev tako, da podpirajo SSL.
Ker je Habr tehnični vir, bo v vsakem novem pregledu ena od točk dnevnega reda razkrila tehnične značilnosti srednje srednje omrežne infrastrukture. Spodaj so na primer izčrpna navodila za izdajo potrdila SSL za vašo storitev.
Primeri bodo navedli ime domene domena.ygg, ki ga morate nadomestiti z imenom domene vaše storitve.
Korak 1. Ustvari zasebni ključ in parametre Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Korak 3. Oddajte zahtevo za potrdilo
Če želite to narediti, kopirajte vsebino datoteke domena.ygg.csr in ga prilepite v besedilno polje na spletnem mestu pki.medium.isp.
Sledite navodilom na spletnem mestu in kliknite »Pošlji«. Če bo uspešen, bo na e-poštni naslov, ki ste ga navedli, poslano sporočilo s prilogo v obliki potrdila, ki ga je podpisal vmesni overitelj.
Korak 4. Nastavite svoj spletni strežnik
Če kot spletni strežnik uporabljate nginx, uporabite naslednjo konfiguracijo:
datoteka domena.ygg.conf v imeniku /etc/nginx/sites-available/
Potrdilo, ki ste ga prejeli po elektronski pošti, morate kopirati na: /etc/ssl/certs/domain.ygg.crt. Zasebni ključ (domena.ygg.ključ) ga postavite v imenik /etc/ssl/private/.
Korak 5. Znova zaženite spletni strežnik
sudo service nginx restart
Brezplačni internet v Rusiji se začne z vami
Danes lahko zagotovite vso možno pomoč pri vzpostavitvi brezplačnega interneta v Rusiji. Sestavili smo obsežen seznam, kako lahko pomagate omrežju:
Povejte svojim prijateljem in sodelavcem o omrežju Medium. Deliti sklic do tega članka na družbenih omrežjih ali osebnem blogu
Sodelujte v razpravi o tehničnih vprašanjih v omrežju Medium na GitHubu
Ustvarite svojo spletno storitev v omrežju Yggdrasil in jo dodajte DNS srednjega omrežja