Had iyo jeer waynu maqalnaa odhaahda ah “Amniga Qaranka”, laakiin marka ay dawladdu bilowdo inay la socoto isgaadhsiintayada, oo ay duubto iyada oo aanay jirin tuhun la isku hallayn karo, sharci iyo ujeeddo la’aan, waa in aynu is waydiinnaa su’aasha ah: Ma runtii waxay ilaalinayaan amniga qaranka mise ma iyagaa ilaalinaya tooda?
- Edward Snowden
Dheef-shiid kiimikaadkan ayaa loogu talagalay in lagu kordhiyo xiisaha Bulshada ee arrinta sirta ah, taas oo, marka la eego dhacdooyinkii ugu dambeeyay noqda mid khuseeya sidii hore.
Ajendaha:
Kuwa xiiseeya ee ka socda bulshada bixiyaha internetka ee baahsan ee "Medium" ayaa abuuraya matoorka raadinta iyaga u gaar ah
Dhexdhexaadku waxa ay dhistay hay'ad shahaado oo cusub, Dhexdhexaad Global Root CA. Yaa isbedelku saamayn doona?
Shahaadooyinka amniga ee guri kasta - sida loo abuuro adeeggaaga shabakadda Yggdrasil oo u soo saar shahaado SSL oo sax ah
I xasuusi - waa maxay "Medium"?
Dhexdhexaad (Eng. Dhexdhexaad - "dhexdhexaadiye", halkudhig asal ah - Ha waydiin qarsoodigaaga. Dib u celi; sidoo kale Ingiriisi ereyga dhexdhexaad macneheedu waa “dhex dhexaad ah”) - Bixiye internet baahsan oo Ruush ah oo bixiya adeegyada marin u helka Yggdrasil lacag la'aan.
Magaca buuxa: Bixiyaha Adeegga Internetka Dhexdhexaad. Markii hore mashruuca waxaa loo maleeyay sida Shabakadda mesh в Degmada Kolomna.
Waxaa la sameeyay Abriil 2019 iyada oo qayb ka ah abuurista jawi isgaarsiineed oo madax-bannaan iyadoo la siinayo isticmaaleyaasha dhamaadka marin u helka ilaha shabakadda Yggdrasil iyadoo la adeegsanayo tignoolajiyada gudbinta xogta Wi-Fi.
Kuwa xiiseeya ee ka socda bulshada bixiyaha internetka ee baahsan ee "Medium" ayaa abuuraya matoorka raadinta iyaga u gaar ah
Изначально в сети Yggdrasil, oo bixiyaha adeegga Internetka ee dhexdhexaadka ah u isticmaalo gaadiid ahaan, ma lahayn server-ka DNS u gaar ah ama kaabayaasha muhiimka ah ee dadweynaha - si kastaba ha ahaatee, baahida loo qabo bixinta shahaadooyinka amniga ee adeegyada shabakadaha dhexe ayaa xalliyey labadan mashaakil.
Maxaad ugu baahan tahay PKI haddii Yggdrasil ka baxsan sanduuqa uu bixiyo awoodda sirta ah ee u dhexeeya asxaabta?Looma baahna in la isticmaalo HTTPS si loogu xidho adeegyada webka ee shabakada Yggdrasil haddii aad ku xidho iyaga adoo maxali ah ku shaqeeya shabakada Yggdrasil.
Runtii: Gaadiidka Yggdrasil waa isku mid borotokoolka Waxay kuu oggolaaneysaa inaad si badbaado leh u isticmaasho agabka gudaha shabakadda Yggdrasil - awoodda wax-qabadka Weerarrada MITM gabi ahaanba laga saaray.
Xaaladdu si weyn ayey isu beddeshaa haddii aad si toos ah u gasho ilaha Yggdarsil ee intranetka, laakiin iyada oo loo marayo marin dhexdhexaad ah - barta gelitaanka shabakadda dhexdhexaadka ah, oo ay maamusho hawlwadeenkeeda.
Xaaladdan, yaa wax u dhimi kara xogta aad gudbiso:
Xiriiriyaha barta marinka. Way caddahay in hawl wadeenka hadda ee barta gelitaanka shabakadda Dhexdhexaadku uu dhegaysan karo taraafikada aan qarsoodiga ahayn ee dhex mara qalabkiisa.
go'aanka: si aad u gasho adeegyada shabakada gudaha shabakada Yggdrasil, isticmaal borotokoolka HTTPS (heerka 7 Moodooyinka OSI). Dhibaatadu waxay tahay in aysan suurtagal ahayn in la bixiyo shahaado ammaan oo dhab ah adeegyada shabakadda Yggdrasil iyada oo loo marayo habab caadi ah sida Aan isku dayno.
Sidaa darteed, waxaan dhisnay xarun noo gaar ah oo shahaado-siinta - "Medium Global Root CA". Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Suurtagalnimada in la carqaladeeyo shahaadada asalka ah ee maamulka shahaadada ayaa, dabcan, la tixgeliyey - laakiin halkan shahaadada ayaa aad looga baahan yahay si loo xaqiijiyo daacadnimada gudbinta xogta iyo baabi'inta suurtagalnimada weerarrada MITM.
Adeegyada shabakadaha dhexdhexaadka ah ee hawl wadeenada kala duwan waxay leeyihiin shahaadooyin amni oo kala duwan, hal dariiq ama mid kale oo ay saxeexeen maamulka shahaado bixinta. Si kastaba ha ahaatee, hawl wadeenada Root CA ma awoodaan inay dhagaystaan taraafikada sirta ah ee adeegyada ay saxeexeen shahaadooyinka amniga (eeg "Waa maxay CSR?").
Kuwa si gaar ah uga walaacsan ammaankooda waxay isticmaali karaan hababkaas sida ilaalin dheeraad ah, sida PGP и la mid ah.
Waqtigan xaadirka ah, kaabayaasha muhiimka ah ee dadweynaha ee shabakadda Dhexdhexaadku waxay awood u leeyihiin inay hubiyaan heerka shahaadada iyadoo la adeegsanayo borotokoolka OCSP ama isticmaalka C.R.L..
U dhaadhac qodobka
User @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
TLD ugu weyn waa .ygg. Inta badan magacyada domain waxay leeyihiin TLD-kan, marka laga reebo laba ka reeban: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт raadin.dhexdhexaad.isp.
Dhexdhexaadku waxa ay dhistay hay'ad shahaado oo cusub, Dhexdhexaad Global Root CA. Yaa isbedelku saamayn doona?
Shalay, tijaabinta dadwaynaha ee shaqaynta Xarunta shahaadaynta Dhexdhexaadka ee Root CA ayaa la dhameeyay. Dhammaadka imtixaanka, khaladaadka ku jira hawlgalka adeegyada kaabayaasha muhiimka ah ee dadweynaha ayaa la saxay waxaana la sameeyay shahaado xidid cusub oo maamulka shahaado-siinta "Medium Global Root CA" ayaa la sameeyay.
Dhammaan nuucyada iyo sifooyinka PKI waa la tixgeliyey - hadda shahaadada CA-ga cusub "Medium Global Root CA" waxaa la soo saari doonaa kaliya toban sano ka dib (ka dib taariikhda uu dhacayo). Hadda shahaadooyinka amniga waxaa bixiya oo keliya maamulka shahaado-siinta dhexe - tusaale ahaan, "Medium Domain Validation Secure Server CA".
Sidee buu u eg yahay silsiladda kalsoonida shahaado?
Maxaa loo baahan yahay in la sameeyo si wax walba u shaqeeyaan haddii aad tahay isticmaale:
Maadaama adeegyada qaarkood ay isticmaalaan HSTS, ka hor inta aanad isticmaalin ilaha shabakada Dhexdhexaadka ah, waa in aad tirtirtaa xogta ilaha interneedka dhexe. Tan waxaad ku samayn kartaa bogga Taariikhda ee browserkaaga.
Sidoo kale waa lagama maarmaan rakib shahaado cusub xarunta shahaadada "Medium Global Root CA".
Maxaa loo baahan yahay in la sameeyo si wax walba u shaqeeyaan haddii aad tahay hawlwadeenka nidaamka:
Waxaad u baahan tahay inaad dib u soo saarto shahaadada adeeggaaga bogga pki.dhexdhexaad.isp (adeegga waxaa laga heli karaa oo keliya shabakadda dhexe).
Shahaadooyinka amniga ee guri kasta - sida loo abuuro adeeggaaga shabakadda Yggdrasil oo u soo saar shahaado SSL oo sax ah
Sababtoo ah kobaca tirada adeegyada intranet-ka ee shabakadda Dhexdhexaadka ah, baahida loo qabo in la soo saaro shahaadooyin nabadgelyo oo cusub oo loo habeeyo adeegyadooda si ay u taageeraan SSL ayaa kordhay.
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Tallaabada 3. Gudbi codsi shahaado
Для этого скопируйте содержимое файла domain.ygg.csr oo ku dheji goobta qoraalka ee goobta pki.dhexdhexaad.isp.
Raac tilmaanta lagu bixiyay mareegaha, dabadeed dhagsii "Submit". Haddii lagu guuleysto, fariin ayaa loo diri doonaa ciwaanka iimaylka aad sheegtay oo ay ku jiraan lifaaq qaab shahaado ah oo ay saxiixday maamulka shahaado bixinta dhexe.
Tallaabada 4. Deji serverkaaga shabakada
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
file domain.ygg.conf tusaha ku jira /etc/nginx/sites-la heli karo/
Shahaadada aad ku heshay iimaylka waa in lagu koobiyaa: /etc/ssl/certs/domain.ygg.crt. Furaha gaarka ah (domain.ygg.key) поместите в директорию / iwm/ssl/gaar ah/.
Tallaabada 5. Dib u bilow seerfarkaaga shabakada
sudo service nginx restart
Internet bilaash ah oo Ruushka ah ayaa adiga kugu bilaabmaya
Waxaad ku siin kartaa dhammaan kaalmada suurtogalka ah ee aasaaska internetka bilaashka ah ee Ruushka maanta. Waxaanu soo diyaarinay liis dhamaystiran oo ah sida saxda ah ee aad u caawin karto shabakada:
U sheeg asxaabtaada iyo asxaabtaada shabakada Dhexdhexaadka ah. La wadaag tixraac maqaalkan shabakadaha bulshada ama blog-ka gaarka ah
Ka qayb qaado dooda arrimaha farsamada ee shabakada dhexe ku yaal GitHub