Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
O lenei fa'avasegaga ua fa'amoemoe e fa'atuputeleina ai le fiafia o le Fa'alapotopotoga i le mataupu o le le faalauaiteleina, lea, e tusa ai ma mea na tutupu lata mai e sili atu ona taua nai lo se isi lava taimi muamua.
I le lisi o mataupu:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Faamanatu mai - o le a le “Medium”?
feoloolo (Ig. feoloolo - “tagata faufautua”, uluai anagagana - Aua le fesili mo lou le faalauaiteleina. Toe ave i tua; i le faaperetania foi le upu feoloolo o lona uiga o le “vaeluaga”) - o se tagata Rusia e tu'ufa'atasia le Initaneti o lo'o tu'uina atu auaunaga fa'aoga feso'ota'iga Yggdrasil e leai se totogi.
Fausia ia Aperila 2019 o se vaega o le fausiaina o se siosiomaga tutoʻatasi fesoʻotaʻiga e ala i le tuʻuina atu o tagata faʻauʻu avanoa i punaoa fesoʻotaʻiga Yggdrasil e ala i le faʻaogaina o tekonolosi Wi-Fi faʻasalalau faʻamatalaga.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?E leai se mana'oga e fa'aoga le HTTPS e fa'afeso'ota'i i 'au'aunaga i luga ole laiga ile Yggdrasil feso'ota'iga pe afai e te fa'afeso'ota'i ia i latou e ala ile fa'aogaina ole alalaupapa feso'otaiga a Yggdrasil.
Ioe: Yggdrasil felauaiga e tutusa feagaiga fa'atagaina oe e fa'aoga saogalemu punaoa i totonu o le Yggdrasil network - le mafai ona fa'atautaia MITM osofa'iga matua le aofia.
E matua suia le tulaga pe afai e te mauaina le punaoa intranet a Yggdarsil e le tuusaʻo, ae e ala i se vaeluagalemu - le Medium network access point, lea e faʻatautaia e lona tagata faʻatautaia.
I lenei tulaga, o ai e mafai ona faʻafefeteina faʻamatalaga e te lafoina:
Fa'afoe avanoa avanoa. E manino lava e mafai e le tagata faigaluega o loʻo i ai nei le Medium network access point ona faʻalogo i luga o feoaiga e leʻi faʻamaonia e ui atu i ana meafaigaluega.
faaiuga: e maua ai auaunaga i luga ole laiga i totonu ole Yggdrasil network, faʻaaoga le HTTPS protocol (tulaga 7 OSI faʻataʻitaʻiga). O le faʻafitauli e le mafai ona tuʻuina atu se tusi faʻamaonia moni mo le Yggdrasil network services e ala i auala masani e pei o Tatou Faanatinati.
O le mea lea, na matou faʻatuina ai la matou lava nofoaga faʻamaonia - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
O le avanoa e faʻafefe ai le aʻa o le pule faʻamaonia, o le mea moni, na amanaia - ae o iinei o le tusi faamaonia e sili atu ona manaʻomia e faʻamaonia ai le faʻamaoni o faʻamatalaga faʻamatalaga ma faʻaumatia le avanoa o osofaʻiga MITM.
'Au'aunaga feso'ota'iga feololo mai fa'alapotopotoga 'ese'ese e 'ese'ese tusi fa'amaonia mo le puipuiga, se tasi auala po'o le isi sa sainia e le pulega fa'amaonia a'a. Ae ui i lea, e le mafai e le aufaipisinisi Root CA ona faʻalogo i luga o felauaiga faʻailoga mai auaunaga ia na latou sainia ai tusi faamaonia o le puipuiga (vaai “O le a le CSR?”).
O i latou e sili ona popole i lo latou saogalemu e mafai ona faʻaogaina auala e pei o puipuiga faaopoopo, pei o PGP и tutusa.
I le taimi nei, o faʻalapotopotoga autu lautele o le Medium network o loʻo i ai le malosi e siaki ai le tulaga o se tusi faamaonia e faʻaaoga ai le protocol OCSP po'o le fa'aaogaina C.R.L..
Ia oo i le tulaga
Tagata faʻaaoga @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .g.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Laa 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Laa 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Laa 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
faila domain.ygg.conf i totonu o le lisi /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Laa 5. Перезапустите ваш веб-сервер
sudo service nginx restart
Initaneti e leai se totogi i Rusia e amata ia oe
E mafai ona e tuʻuina atu fesoasoani uma e mafai ai i le faʻavaeina o se Initaneti saoloto i Rusia i aso nei. Ua matou tuufaatasia se lisi atoatoa o auala tonu e mafai ona e fesoasoani ai i le upega tafailagi:
Ta'u i au uo ma au uo e uiga i le Medium network. Faasoa faʻamatalaga i lenei tusiga i luga o fesoʻotaʻiga lautele poʻo le blog patino
Auai i le talanoaga o mataupu faʻapitoa i luga ole fesoʻotaʻiga Medium i luga ole GitHub