Ne e dëgjojmë frazën “siguri kombëtare” gjatë gjithë kohës, por kur qeveria fillon të monitorojë komunikimet tona, duke i regjistruar ato pa dyshime të besueshme, bazë ligjore dhe pa ndonjë qëllim të dukshëm, duhet t'i bëjmë vetes pyetjen: a e mbrojnë vërtet sigurinë kombëtare apo a mbrojnë të tyren?
- Edward Snowden
Ky përmbledhje synon të rrisë interesin e Komunitetit për çështjen e privatësisë, e cila, në dritën e bëhet më e rëndësishme se kurrë më parë.
Në rendin e ditës:
Entuziastët nga komuniteti i ofruesit të decentralizuar të internetit "Medium" po krijojnë motorin e tyre të kërkimit
Medium ka krijuar një autoritet të ri certifikues, Medium Global Root CA. Kush do të preket nga ndryshimet?
Certifikatat e sigurisë për çdo shtëpi - si të krijoni shërbimin tuaj në rrjetin Yggdrasil dhe të lëshoni një certifikatë të vlefshme SSL për të
Më kujto - çfarë është "Medium"?
Medium (Anglisht Medium - "ndërmjetës", slogan origjinal - Mos kërkoni për privatësinë tuaj. Merre mbrapsht; edhe në anglisht fjala medium do të thotë "i ndërmjetëm") - një ofrues interneti i decentralizuar rus që ofron shërbime të aksesit në rrjet pa pagese.
Emri i plotë: Ofruesi i Shërbimeve të Internetit të Mesëm. Fillimisht projekti u konceptua si в .
Formuar në Prill 2019 si pjesë e krijimit të një mjedisi të pavarur telekomunikues duke u ofruar përdoruesve fundorë akses në burimet e rrjetit Yggdrasil përmes përdorimit të teknologjisë së transmetimit të të dhënave me valë Wi-Fi.
Më shumë informacion mbi temën:
Entuziastët nga komuniteti i ofruesit të decentralizuar të internetit "Medium" po krijojnë motorin e tyre të kërkimit
Fillimisht online , të cilin ofruesi i decentralizuar i shërbimit të internetit Medium e përdor si transport, nuk kishte serverin e tij DNS ose infrastrukturën e çelësit publik - megjithatë, nevoja për të lëshuar certifikata sigurie për shërbimet e rrjetit të Mesëm i zgjidhi këto dy probleme.
Pse keni nevojë për PKI nëse Yggdrasil jashtë kutisë ofron aftësinë për të kriptuar trafikun midis kolegëve?Nuk ka nevojë të përdorni HTTPS për t'u lidhur me shërbimet në internet në rrjetin Yggdrasil nëse lidheni me to përmes një ruteri të rrjetit Yggdrasil që funksionon në nivel lokal.
Në të vërtetë: transporti Yggdrasil është në nivel ju lejon të përdorni në mënyrë të sigurt burimet brenda rrjetit Yggdrasil - aftësia për të kryer përjashtuar plotësisht.
Situata ndryshon rrënjësisht nëse aksesoni burimet e intranetit të Yggdarsil jo drejtpërdrejt, por përmes një nyje të ndërmjetme - pika e hyrjes në rrjetin e mesëm, e cila administrohet nga operatori i saj.
Në këtë rast, kush mund të komprometojë të dhënat që transmetoni:
- Operatori i pikës së aksesit. Është e qartë se operatori aktual i pikës së aksesit të rrjetit Medium mund të përgjojë trafikun e pakriptuar që kalon përmes pajisjeve të tij.
- ndërhyrës (). Mediumi ka një problem të ngjashëm me , vetëm në lidhje me nyjet hyrëse dhe të ndërmjetme.
Kështu duket
vendim: për të hyrë në shërbimet e internetit brenda rrjetit Yggdrasil, përdorni protokollin HTTPS (niveli 7 ). Problemi është se nuk është e mundur të lëshohet një certifikatë e vërtetë sigurie për shërbimet e rrjetit Yggdrasil përmes mjeteve normale si p.sh. .
Prandaj, ne krijuam qendrën tonë të certifikimit - . Shumica dërrmuese e shërbimeve në rrjetin Medium nënshkruhen nga certifikata e sigurisë rrënjësore e Serverit të Sigurt të Validimit të Domenit të Mesëm CA të autoritetit ndërmjetës të certifikimit.
Mundësia e kompromentimit të certifikatës rrënjësore të autoritetit të certifikimit, natyrisht, u mor parasysh - por këtu certifikata është më e nevojshme për të konfirmuar integritetin e transmetimit të të dhënave dhe për të eliminuar mundësinë e sulmeve MITM.
Shërbimet e rrjetit të mesëm nga operatorë të ndryshëm kanë certifikata të ndryshme sigurie, në një mënyrë ose në një tjetër të nënshkruar nga autoriteti i certifikimit rrënjë. Megjithatë, operatorët Root CA nuk janë në gjendje të përgjojnë trafikun e koduar nga shërbimet për të cilat ata kanë nënshkruar certifikatat e sigurisë (shih ).
Ata që janë veçanërisht të shqetësuar për sigurinë e tyre mund të përdorin mjete të tilla si mbrojtje shtesë, si p.sh и .
Aktualisht, infrastruktura e çelësit publik të rrjetit Medium ka mundësinë të kontrollojë statusin e një certifikate duke përdorur protokollin ose nëpërmjet përdorimit .
Merrni në pikë
përdorues filloi zhvillimin e një motori kërkimi për shërbimet e internetit të vendosura në rrjetin Yggdrasil. Një aspekt i rëndësishëm është fakti që përcaktimi i adresave IPv6 të shërbimeve gjatë kryerjes së një kërkimi kryhet duke dërguar një kërkesë në një server DNS që ndodhet brenda rrjetit Medium.
TLD kryesore është .ygg. Shumica e emrave të domain-it kanë këtë TLD, me dy përjashtime: .isp и .gg.
Motori i kërkimit është në zhvillim e sipër, por përdorimi i tij tashmë është i mundur sot - thjesht vizitoni faqen e internetit .
Ju mund të ndihmoni zhvillimin e projektit, .
Medium ka krijuar një autoritet të ri certifikues, Medium Global Root CA. Kush do të preket nga ndryshimet?
Dje ka përfunduar testimi publik i funksionalitetit të qendrës së certifikimit të CA me rrënjë të mesme. Në përfundim të testimit, gabimet në funksionimin e shërbimeve të infrastrukturës me çelës publik u korrigjuan dhe u krijua një certifikatë e re rrënjësore e autoritetit të certifikimit “Medium Global Root CA”.
U morën parasysh të gjitha nuancat dhe veçoritë e PKI - tani certifikata e re CA "Medium Global Root CA" do të lëshohet vetëm dhjetë vjet më vonë (pas datës së skadimit të saj). Tani çertifikatat e sigurisë lëshohen vetëm nga autoritetet e ndërmjetme të certifikimit - për shembull, "Serveri i Sigurt i Validimit të Domenit të Mesëm CA".
Si duket tani zinxhiri i besimit të certifikatës?
Çfarë duhet bërë që gjithçka të funksionojë nëse jeni përdorues:
Meqenëse disa shërbime përdorin HSTS, përpara se të përdorni burimet e rrjetit të mesëm, duhet të fshini të dhënat nga burimet e intranetit të mesëm. Ju mund ta bëni këtë në skedën Historia të shfletuesit tuaj.
Është gjithashtu e nevojshme qendra e certifikimit "Medium Global Root CA".
Çfarë duhet bërë për të funksionuar gjithçka nëse jeni operator sistemi:
Duhet të rilëshoni certifikatën për shërbimin tuaj në faqe (shërbimi është i disponueshëm vetëm në rrjetin Medium).
Certifikatat e sigurisë për çdo shtëpi - si të krijoni shërbimin tuaj në rrjetin Yggdrasil dhe të lëshoni një certifikatë të vlefshme SSL për të
Për shkak të rritjes së numrit të shërbimeve të intranetit në rrjetin Medium, nevoja për lëshimin e certifikatave të reja të sigurisë dhe konfigurimin e shërbimeve të tyre në mënyrë që ato të mbështesin SSL është rritur.
Meqenëse Habr është një burim teknik, në çdo përmbledhje të re një nga pikat e rendit të ditës do të zbulojë veçoritë teknike të infrastrukturës së rrjetit të mesëm. Për shembull, më poshtë janë udhëzimet gjithëpërfshirëse për lëshimin e një certifikate SSL për shërbimin tuaj.
Shembujt do të tregojnë emrin e domenit domain.ygg, i cili duhet të zëvendësohet me emrin e domenit të shërbimit tuaj.
Hapi 1. Gjeneroni çelësin privat dhe parametrat Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048atëherë:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Hapi 2. Krijo një kërkesë për nënshkrimin e certifikatës
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confPërmbajtja e skedarit domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Hapi 3. Paraqisni një kërkesë për certifikatë
Për ta bërë këtë, kopjoni përmbajtjen e skedarit domain.ygg.csr dhe ngjiteni në fushën e tekstit në sajt .
Ndiqni udhëzimet e dhëna në faqen e internetit, pastaj klikoni "Dërgo". Nëse është e suksesshme, një mesazh do të dërgohet në adresën e emailit që keni specifikuar që përmban një bashkëngjitje në formën e një certifikate të nënshkruar nga një autoritet certifikues ndërmjetës.
Hapi 4. Vendosni serverin tuaj të internetit
Nëse po përdorni nginx si serverin tuaj të internetit, përdorni konfigurimin e mëposhtëm:
skedar domain.ygg.conf në drejtori /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
skedar ssl-params.konf në drejtori /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
skedar domain.ygg.conf në drejtori /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Certifikata që keni marrë me email duhet të kopjohet në: /etc/ssl/certs/domain.ygg.crt. Çelësi privat (domeni.ygg.çelës) vendoseni në një direktori /etc/ssl/private/.
Hapi 5. Rinisni serverin tuaj të internetit
sudo service nginx restartInterneti falas në Rusi fillon me ju
Ju mund të ofroni të gjithë ndihmën e mundshme për krijimin e një interneti falas në Rusi sot. Ne kemi përpiluar një listë gjithëpërfshirëse se si saktësisht mund ta ndihmoni rrjetin:
- Tregojuni miqve dhe kolegëve tuaj për rrjetin Medium. Shpërndaje në këtë artikull në rrjetet sociale ose në blogun personal
- Merrni pjesë në diskutimin e çështjeve teknike në rrjetin Medium
- Krijoni shërbimin tuaj të internetit në rrjetin Yggdrasil dhe shtojeni atë në
- Ngritni tuajat në rrjetin e mesëm
Publikimet e mëparshme:
Shih gjithashtu:
Jemi në Telegram:
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , te lutem
Votimi alternativ: është e rëndësishme për ne të dimë mendimin e atyre që nuk kanë një llogari të plotë në Habré
-
↑
-
↓
7 përdorues votuan. 2 përdorues abstenuan.
Burimi: www.habr.com