Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
O lenei fa'avasegaga ua fa'amoemoe e fa'atuputeleina ai le fiafia o le Fa'alapotopotoga i le mataupu o le le faalauaiteleina, lea, e tusa ai ma e sili atu ona taua nai lo se isi lava taimi muamua.
I le lisi o mataupu:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Faamanatu mai - o le a le “Medium”?
feoloolo (Ig. feoloolo - “tagata faufautua”, uluai anagagana - Aua le fesili mo lou le faalauaiteleina. Toe ave i tua; i le faaperetania foi le upu feoloolo o lona uiga o le “vaeluaga”) - o se tagata Rusia e tu'ufa'atasia le Initaneti o lo'o tu'uina atu auaunaga fa'aoga feso'ota'iga e leai se totogi.
Igoa atoa: Medium Internet Service Provider. I le amataga o le poloketi na fuafuaina e pei o в .
Fausia ia Aperila 2019 o se vaega o le fausiaina o se siosiomaga tutoʻatasi fesoʻotaʻiga e ala i le tuʻuina atu o tagata faʻauʻu avanoa i punaoa fesoʻotaʻiga Yggdrasil e ala i le faʻaogaina o tekonolosi Wi-Fi faʻasalalau faʻamatalaga.
Fa'amatalaga atili ile autu:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?E leai se mana'oga e fa'aoga le HTTPS e fa'afeso'ota'i i 'au'aunaga i luga ole laiga ile Yggdrasil feso'ota'iga pe afai e te fa'afeso'ota'i ia i latou e ala ile fa'aogaina ole alalaupapa feso'otaiga a Yggdrasil.
Ioe: Yggdrasil felauaiga e tutusa fa'atagaina oe e fa'aoga saogalemu punaoa i totonu o le Yggdrasil network - le mafai ona fa'atautaia matua le aofia.
E matua suia le tulaga pe afai e te mauaina le punaoa intranet a Yggdarsil e le tuusaʻo, ae e ala i se vaeluagalemu - le Medium network access point, lea e faʻatautaia e lona tagata faʻatautaia.
I lenei tulaga, o ai e mafai ona faʻafefeteina faʻamatalaga e te lafoina:
- Fa'afoe avanoa avanoa. E manino lava e mafai e le tagata faigaluega o loʻo i ai nei le Medium network access point ona faʻalogo i luga o feoaiga e leʻi faʻamaonia e ui atu i ana meafaigaluega.
- fa'alavelave (). Medium ei ai se faʻafitauli e tutusa ma , na'o le feso'ota'iga i mea fa'aulu ma nodes vaeluagalemu.
O le foliga lea
faaiuga: e maua ai auaunaga i luga ole laiga i totonu ole Yggdrasil network, faʻaaoga le HTTPS protocol (tulaga 7 ). O le faʻafitauli e le mafai ona tuʻuina atu se tusi faʻamaonia moni mo le Yggdrasil network services e ala i auala masani e pei o .
O le mea lea, na matou faʻatuina ai la matou lava nofoaga faʻamaonia - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
O le avanoa e faʻafefe ai le aʻa o le pule faʻamaonia, o le mea moni, na amanaia - ae o iinei o le tusi faamaonia e sili atu ona manaʻomia e faʻamaonia ai le faʻamaoni o faʻamatalaga faʻamatalaga ma faʻaumatia le avanoa o osofaʻiga MITM.
'Au'aunaga feso'ota'iga feololo mai fa'alapotopotoga 'ese'ese e 'ese'ese tusi fa'amaonia mo le puipuiga, se tasi auala po'o le isi sa sainia e le pulega fa'amaonia a'a. Ae ui i lea, e le mafai e le aufaipisinisi Root CA ona faʻalogo i luga o felauaiga faʻailoga mai auaunaga ia na latou sainia ai tusi faamaonia o le puipuiga (vaai ).
O i latou e sili ona popole i lo latou saogalemu e mafai ona faʻaogaina auala e pei o puipuiga faaopoopo, pei o и .
I le taimi nei, o faʻalapotopotoga autu lautele o le Medium network o loʻo i ai le malosi e siaki ai le tulaga o se tusi faamaonia e faʻaaoga ai le protocol po'o le fa'aaogaina .
Ia oo i le tulaga
Tagata faʻaaoga начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .g.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
E tatau foi удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Laa 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Ona:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Laa 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFa'amau faila domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Laa 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Laa 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
faila domain.ygg.conf i totonu o le lisi /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
faila ssl-params.conf i totonu o le lisi /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
faila domain.ygg.conf i totonu o le lisi /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Laa 5. Перезапустите ваш веб-сервер
sudo service nginx restartInitaneti e leai se totogi i Rusia e amata ia oe
E mafai ona e tuʻuina atu fesoasoani uma e mafai ai i le faʻavaeina o se Initaneti saoloto i Rusia i aso nei. Ua matou tuufaatasia se lisi atoatoa o auala tonu e mafai ona e fesoasoani ai i le upega tafailagi:
- Ta'u i au uo ma au uo e uiga i le Medium network. Faasoa i lenei tusiga i luga o fesoʻotaʻiga lautele poʻo le blog patino
- Auai i le talanoaga o mataupu faʻapitoa i luga ole fesoʻotaʻiga Medium
- Fausia lau 'upega tafaʻilagi i luga o le Yggdrasil network ma faʻaopopo i ai
- Sii i luga lau i le feso'ota'iga Medium
Fa'asalalauga muamua:
Faitau foi:
Ua matou i luga ole Telegram:
Na'o tagata fa'aigoaina e mafai ona auai i le su'esu'ega. , faʻamolemole.
Suiga palota: e taua mo i tatou le iloa o manatu oi latou e leai se tala atoa ile Habré
-
↑
-
↓
7 tagata fa'aoga na palota. 2 tagata fa'aoga na fa'amama.
puna: www.habr.com