Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Digest iyi inoitirwa kuwedzera kufarira kweCommunity munhau yekuvanzika, iyo, muchiedza che inova yakakosha kupfuura nakare kose.
Pachirongwa:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Ndiyeuchidze - chii chinonzi "Medium"?
nzira (eng. nzira - "murevereri", sirogani yekutanga - Usabvunze zvakavanzika zvako. Dzosera; zvakare muchiRungu izwi nzira zvinoreva "yepakati") - mupi weRussia ane hunyanzvi hweInternet anopa masevhisi ekuwana network pasina muripo.
Zita rakazara: Medium Internet Service Provider. Pakutanga, purojekiti yacho yakaumbwa se в .
Yakagadzirwa muna Kubvumbi 2019 sechikamu chekugadzirwa kwenzvimbo yakazvimiririra yekufambisa nhare nekupa vashandisi vekupedzisira mukana wekuwana Yggdrasil network zviwanikwa kuburikidza nekushandisa Wi-Fi isina waya yekufambisa data tekinoroji.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Hapana chikonzero chekushandisa HTTPS kuti ubatanidze kumawebhu masevhisi paYggdrasil network kana ukabatana navo kuburikidza neiyo inomhanya Yggdrasil network router.
Chokwadi: Yggdrasil transport iri par inokutendera kuti ushandise zvakachengeteka zviwanikwa mukati meYggdrasil network - kugona kuitisa kusabatanidzwa zvachose.
Mamiriro ezvinhu anochinja zvakanyanya kana iwe ukawana Yggdarsil's intranet zviwanikwa kwete zvakananga, asi kuburikidza nepakati node - iyo Medium network yekuwana nzvimbo, iyo inotungamirwa neayo anoshanda.
Mune ino kesi, ndiani anogona kukanganisa data raunotumira:
- Access point operator. Zviripachena kuti iye zvino anoshanda weMedium network yekuwana nzvimbo anogona kuterera pane isina kunyorwa traffic inopfuura nemumidziyo yayo.
- mupandiri () Medium ine dambudziko rakafanana ne , chete maererano nekupinza uye pakati node.
Izvi ndizvo zvazvinoita
chisarudzo: kuwana webhu masevhisi mukati meYggdrasil network, shandisa iyo HTTPS protocol (level 7 ) Dambudziko nderekuti hazvigone kuburitsa chitupa chechokwadi chekuchengetedza Yggdrasil network masevhisi kuburikidza neyakajairwa nzira senge. .
Naizvozvo, takagadzira yedu certification centre - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Iko mukana wekukanganisa chitupa cheiyo certification chiremera chaive, chokwadi, chakatariswa - asi pano chitupa chinonyanya kudiwa kusimbisa kuvimbika kwekufambiswa kwedata uye kubvisa mukana wekurwiswa kweMITM.
Epakati network masevhisi kubva kune akasiyana maopareta ane akasiyana ekuchengetedza zvitupa, imwe nzira kana imwe yakasainwa nemudzi weti certification chiremera. Nekudaro, Root CA vanoshanda havakwanise kuterera pane yakavharidzirwa traffic kubva kune masevhisi kwavakasaina zvitupa zvekuchengetedza (ona ).
Avo vanonyanya kunetseka nezvekuchengeteka kwavo vanogona kushandisa nzira dzakadai sekuwedzera kudzivirira, zvakadai и .
Parizvino, iyo yeruzhinji kiyi zvivakwa zveMedium network inokwanisa kutarisa chimiro chechitupa uchishandisa protocol kana kushandisa .
Svika papfungwa
Пользователь начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Zvinodawo удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Step 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Ipapo:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Step 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confZvinyorwa zvemafaira domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Step 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Step 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
faira domain.ygg.conf mudhairekitori /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
faira ssl-params.conf mudhairekitori /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
faira domain.ygg.conf mudhairekitori /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Step 5. Перезапустите ваш веб-сервер
sudo service nginx restartYemahara Internet muRussia inotanga newe
Iwe unogona kupa rubatsiro rwese rwunobvira pakugadzwa kweInternet yemahara muRussia nhasi. Isu takanyora runyoro rwakakwana rwekuti ungabatsira sei network:
- Udza shamwari dzako uye vaunoshanda navo nezve Medium network. Share kuchinyorwa ichi pasocial network kana yako blog
- Tora chikamu mukukurukurirana kwehunyanzvi nyaya paMedium network
- Gadzira yako webhu sevhisi pane Yggdrasil network uye wedzera kwairi
- Simudza yako kuMedium network
Zvakaburitswa:
Verenga zvakare:
Isu tiri paTeregiramu:
Vashandisi vakanyoresa chete ndivo vanogona kutora chikamu muongororo. , Munogamuchirwa.
Kumwe kuvhota: zvakakosha kuti isu tizive maonero eavo vasina account yakazara paHabré.
-
↑
-
↓
7 vashandisi vakavhota. 2 vashandisi vakaramba.
Source: www.habr.com