Besedno zvezo »nacionalna varnost« poslušamo ves čas, a ko vlada začne nadzirati naše komunikacije, jih snemati brez verodostojnega suma, pravne podlage in brez očitnega namena, se moramo vprašati: ali res varujejo nacionalno varnost oz. varujejo svoje?
- Edward Snowden
Ta povzetek je namenjen povečanju zanimanja Skupnosti za vprašanje zasebnosti, ki v luči postane bolj relevanten kot kdaj koli prej.
Na dnevnem redu:
Entuziasti iz skupnosti decentraliziranega internetnega ponudnika "Medium" ustvarjajo svoj iskalnik
Medium je ustanovil nov certifikacijski organ, Medium Global Root CA. Na koga bodo spremembe vplivale?
Varnostni certifikati za vsak dom - kako ustvariti lastno storitev v omrežju Yggdrasil in zanjo izdati veljavno SSL potrdilo
Opomni me - kaj je "srednje"?
srednje (Angleščina srednje - "posrednik", izvirni slogan - Ne sprašuj po svoji zasebnosti. Vzeti nazaj; tudi v angleščini beseda srednje pomeni "vmesni") - ruski decentralizirani internetni ponudnik, ki ponuja storitve dostopa do omrežja zastonj.
Polno ime: srednji ponudnik internetnih storitev. Sprva je bil projekt zasnovan kot в .
Oblikovano aprila 2019 kot del oblikovanja neodvisnega telekomunikacijskega okolja z zagotavljanjem dostopa končnim uporabnikom do virov omrežja Yggdrasil z uporabo tehnologije brezžičnega prenosa podatkov Wi-Fi.
Več informacij o temi:
Entuziasti iz skupnosti decentraliziranega internetnega ponudnika "Medium" ustvarjajo svoj iskalnik
Prvotno na spletu , ki ga decentralizirani ponudnik internetnih storitev Medium uporablja kot transport, ni imel lastnega strežnika DNS ali infrastrukture javnih ključev – vendar je potreba po izdaji varnostnih certifikatov za omrežne storitve Medium rešila ta dva problema.
Zakaj potrebujete PKI, če Yggdrasil takoj po namestitvi ponuja možnost šifriranja prometa med vrstniki?Za povezavo s spletnimi storitvami v omrežju Yggdrasil ni treba uporabljati HTTPS, če se z njimi povežete prek lokalno delujočega omrežnega usmerjevalnika Yggdrasil.
Resnično: prevoz Yggdrasil je na nivoju vam omogoča varno uporabo virov v omrežju Yggdrasil – sposobnost vodenja popolnoma izključena.
Situacija se radikalno spremeni, če do intranetnih virov Yggdarsil dostopate ne neposredno, temveč prek vmesnega vozlišča - dostopne točke srednjega omrežja, ki jo upravlja njegov operater.
Kdo lahko v tem primeru ogrozi podatke, ki jih posredujete:
- Operater dostopne točke. Očitno je, da lahko trenutni operater dostopne točke srednjega omrežja posluša nešifriran promet, ki poteka skozi njegovo opremo.
- vsiljivec (). Medij ima podobno težavo kot , samo v zvezi z vhodnimi in vmesnimi vozlišči.
Takole izgleda
odločitev: za dostop do spletnih storitev v omrežju Yggdrasil uporabite protokol HTTPS (nivo 7 ). Težava je v tem, da ni mogoče izdati pristnega varnostnega potrdila za omrežne storitve Yggdrasil z običajnimi sredstvi, kot je .
Zato smo ustanovili lasten certifikacijski center – . Velika večina omrežnih storitev Medium je podpisana s korenskim varnostnim potrdilom vmesnega overitelja potrdil »Medium Domain Validation Secure Server CA«.
Možnost ogrožanja korenskega potrdila overitelja je bila seveda upoštevana – vendar je tu potrdilo bolj potrebno za potrditev integritete prenosa podatkov in odpravo možnosti MITM napadov.
Srednje omrežne storitve različnih operaterjev imajo različne varnostne certifikate, tako ali drugače podpisane s strani korenskega overitelja. Vendar operaterji korenskih CA ne morejo prisluškovati šifriranemu prometu storitev, katerim so podpisali varnostna potrdila (glejte ).
Tisti, ki jih še posebej skrbi njihova varnost, lahko takšna sredstva uporabijo kot dodatno zaščito, kot je npr и .
Trenutno ima infrastruktura javnih ključev omrežja Medium možnost preverjanja statusa potrdila z uporabo protokola ali z uporabo .
Pojdi na stvar
Uporabnik začel razvijati iskalnik za spletne storitve, ki se nahajajo v omrežju Yggdrasil. Pomemben vidik je dejstvo, da se določitev naslovov IPv6 storitev pri izvajanju iskanja izvaja s pošiljanjem zahteve strežniku DNS, ki se nahaja znotraj omrežja Medium.
Glavni TLD je .ygg. Večina imen domen ima ta TLD, z dvema izjemama: .isp и .gg.
Iskalnik je v razvoju, vendar je njegova uporaba možna že danes – le obiščite spletno stran .
Lahko pomagate pri razvoju projekta, .
Medium je ustanovil nov certifikacijski organ, Medium Global Root CA. Na koga bodo spremembe vplivale?
Včeraj se je zaključilo javno testiranje funkcionalnosti certifikacijskega centra Medium Root CA. Ob koncu testiranja so bile odpravljene napake v delovanju infrastrukturnih storitev javnih ključev in izdelano novo korensko potrdilo overitelja »Medium Global Root CA«.
Upoštevane so bile vse nianse in značilnosti PKI - zdaj bo novo potrdilo CA "Medium Global Root CA" izdano šele deset let kasneje (po datumu poteka). Zdaj varnostna potrdila izdajajo samo vmesni certifikacijski organi - na primer »Medium Domain Validation Secure Server CA«.
Kako je zdaj videti veriga zaupanja certifikatov?
Kaj je treba storiti, da vse deluje, če ste uporabnik:
Ker nekatere storitve uporabljajo HSTS, morate pred uporabo omrežnih virov Medium izbrisati podatke iz intranetnih virov Medium. To lahko storite na zavihku Zgodovina v brskalniku.
Prav tako je potrebno certifikacijski center "Medium Global Root CA".
Kaj je treba storiti, da bo vse delovalo, če ste sistemski operater:
Za svojo storitev na strani morate znova izdati potrdilo (storitev je na voljo samo v omrežju Medium).
Varnostni certifikati za vsak dom - kako ustvariti lastno storitev v omrežju Yggdrasil in zanjo izdati veljavno SSL potrdilo
Zaradi naraščanja števila intranetnih storitev v omrežju Medium se je povečala potreba po izdaji novih varnostnih certifikatov in konfiguraciji njihovih storitev tako, da podpirajo SSL.
Ker je Habr tehnični vir, bo v vsakem novem pregledu ena od točk dnevnega reda razkrila tehnične značilnosti srednje srednje omrežne infrastrukture. Spodaj so na primer izčrpna navodila za izdajo potrdila SSL za vašo storitev.
Primeri bodo navedli ime domene domena.ygg, ki ga morate nadomestiti z imenom domene vaše storitve.
Korak 1. Ustvari zasebni ključ in parametre Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Potem:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Korak 2. Ustvarite zahtevo za podpis potrdila
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confVsebina datoteke domena.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Korak 3. Oddajte zahtevo za potrdilo
Če želite to narediti, kopirajte vsebino datoteke domena.ygg.csr in ga prilepite v besedilno polje na spletnem mestu .
Sledite navodilom na spletnem mestu in kliknite »Pošlji«. Če bo uspešen, bo na e-poštni naslov, ki ste ga navedli, poslano sporočilo s prilogo v obliki potrdila, ki ga je podpisal vmesni overitelj.
Korak 4. Nastavite svoj spletni strežnik
Če kot spletni strežnik uporabljate nginx, uporabite naslednjo konfiguracijo:
datoteka domena.ygg.conf v imeniku /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
datoteka ssl-params.conf v imeniku /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
datoteka domena.ygg.conf v imeniku /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Potrdilo, ki ste ga prejeli po elektronski pošti, morate kopirati na: /etc/ssl/certs/domain.ygg.crt. Zasebni ključ (domena.ygg.ključ) ga postavite v imenik /etc/ssl/private/.
Korak 5. Znova zaženite spletni strežnik
sudo service nginx restartBrezplačni internet v Rusiji se začne z vami
Danes lahko zagotovite vso možno pomoč pri vzpostavitvi brezplačnega interneta v Rusiji. Sestavili smo obsežen seznam, kako lahko pomagate omrežju:
- Povejte svojim prijateljem in sodelavcem o omrežju Medium. Deliti do tega članka na družbenih omrežjih ali osebnem blogu
- Sodelujte v razpravi o tehničnih vprašanjih v omrežju Medium
- Ustvarite svojo spletno storitev v omrežju Yggdrasil in jo dodajte
- Dvigni svojega v omrežje Medium
Prejšnje izdaje:
Glej tudi:
Smo na Telegramu:
V anketi lahko sodelujejo samo registrirani uporabniki. , prosim.
Alternativno glasovanje: pomembno je, da poznamo mnenje tistih, ki nimajo celotnega računa na Habréju
-
↑
-
↓
Glasovalo je 7 uporabnikov. 2 uporabnika sta se vzdržala.
Vir: www.habr.com