Përmbledhje mesatare javore #5 (9 – 16 gusht 2019)
Ne e dëgjojmë frazën “siguri kombëtare” gjatë gjithë kohës, por kur qeveria fillon të monitorojë komunikimet tona, duke i regjistruar ato pa dyshime të besueshme, bazë ligjore dhe pa ndonjë qëllim të dukshëm, duhet t'i bëjmë vetes pyetjen: a e mbrojnë vërtet sigurinë kombëtare apo a mbrojnë të tyren?
- Edward Snowden
Ky përmbledhje synon të rrisë interesin e Komunitetit për çështjen e privatësisë, e cila, në dritën e ngjarjet e fundit bëhet më e rëndësishme se kurrë më parë.
Në rendin e ditës:
Entuziastët nga komuniteti i ofruesit të decentralizuar të internetit "Medium" po krijojnë motorin e tyre të kërkimit
Medium ka krijuar një autoritet të ri certifikues, Medium Global Root CA. Kush do të preket nga ndryshimet?
Certifikatat e sigurisë për çdo shtëpi - si të krijoni shërbimin tuaj në rrjetin Yggdrasil dhe të lëshoni një certifikatë të vlefshme SSL për të
Më kujto - çfarë është "Medium"?
Medium (Anglisht Medium - "ndërmjetës", slogan origjinal - Mos kërkoni për privatësinë tuaj. Merre mbrapsht; edhe në anglisht fjala medium do të thotë "i ndërmjetëm") - një ofrues interneti i decentralizuar rus që ofron shërbime të aksesit në rrjet Yggdrasil pa pagese.
Formuar në Prill 2019 si pjesë e krijimit të një mjedisi të pavarur telekomunikues duke u ofruar përdoruesve fundorë akses në burimet e rrjetit Yggdrasil përmes përdorimit të teknologjisë së transmetimit të të dhënave me valë Wi-Fi.
Entuziastët nga komuniteti i ofruesit të decentralizuar të internetit "Medium" po krijojnë motorin e tyre të kërkimit
Fillimisht online Yggdrasil, të cilin ofruesi i decentralizuar i shërbimit të internetit Medium e përdor si transport, nuk kishte serverin e tij DNS ose infrastrukturën e çelësit publik - megjithatë, nevoja për të lëshuar certifikata sigurie për shërbimet e rrjetit të Mesëm i zgjidhi këto dy probleme.
Pse keni nevojë për PKI nëse Yggdrasil jashtë kutisë ofron aftësinë për të kriptuar trafikun midis kolegëve?Nuk ka nevojë të përdorni HTTPS për t'u lidhur me shërbimet në internet në rrjetin Yggdrasil nëse lidheni me to përmes një ruteri të rrjetit Yggdrasil që funksionon në nivel lokal.
Në të vërtetë: transporti Yggdrasil është në nivel protokoll ju lejon të përdorni në mënyrë të sigurt burimet brenda rrjetit Yggdrasil - aftësia për të kryer Sulmet MITM përjashtuar plotësisht.
Situata ndryshon rrënjësisht nëse aksesoni burimet e intranetit të Yggdarsil jo drejtpërdrejt, por përmes një nyje të ndërmjetme - pika e hyrjes në rrjetin e mesëm, e cila administrohet nga operatori i saj.
Në këtë rast, kush mund të komprometojë të dhënat që transmetoni:
Operatori i pikës së aksesit. Është e qartë se operatori aktual i pikës së aksesit të rrjetit Medium mund të përgjojë trafikun e pakriptuar që kalon përmes pajisjeve të tij.
ndërhyrës (njeri në mes). Mediumi ka një problem të ngjashëm me Problemi i rrjetit Tor, vetëm në lidhje me nyjet hyrëse dhe të ndërmjetme.
Kështu duket
vendim: për të hyrë në shërbimet e internetit brenda rrjetit Yggdrasil, përdorni protokollin HTTPS (niveli 7 Modelet OSI). Problemi është se nuk është e mundur të lëshohet një certifikatë e vërtetë sigurie për shërbimet e rrjetit Yggdrasil përmes mjeteve normale si p.sh. Le të Encrypt.
Prandaj, ne krijuam qendrën tonë të certifikimit - "Medium Global Root CA". Shumica dërrmuese e shërbimeve në rrjetin Medium nënshkruhen nga certifikata e sigurisë rrënjësore e Serverit të Sigurt të Validimit të Domenit të Mesëm CA të autoritetit ndërmjetës të certifikimit.
Mundësia e kompromentimit të certifikatës rrënjësore të autoritetit të certifikimit, natyrisht, u mor parasysh - por këtu certifikata është më e nevojshme për të konfirmuar integritetin e transmetimit të të dhënave dhe për të eliminuar mundësinë e sulmeve MITM.
Shërbimet e rrjetit të mesëm nga operatorë të ndryshëm kanë certifikata të ndryshme sigurie, në një mënyrë ose në një tjetër të nënshkruar nga autoriteti i certifikimit rrënjë. Megjithatë, operatorët Root CA nuk janë në gjendje të përgjojnë trafikun e koduar nga shërbimet për të cilat ata kanë nënshkruar certifikatat e sigurisë (shih "Çfarë është CSR?").
Ata që janë veçanërisht të shqetësuar për sigurinë e tyre mund të përdorin mjete të tilla si mbrojtje shtesë, si p.sh PGP и i ngjashëm.
Aktualisht, infrastruktura e çelësit publik të rrjetit Medium ka mundësinë të kontrollojë statusin e një certifikate duke përdorur protokollin OCSP ose nëpërmjet përdorimit C.R.L..
Merrni në pikë
përdorues @NXShock filloi zhvillimin e një motori kërkimi për shërbimet e internetit të vendosura në rrjetin Yggdrasil. Një aspekt i rëndësishëm është fakti që përcaktimi i adresave IPv6 të shërbimeve gjatë kryerjes së një kërkimi kryhet duke dërguar një kërkesë në një server DNS që ndodhet brenda rrjetit Medium.
TLD kryesore është .ygg. Shumica e emrave të domain-it kanë këtë TLD, me dy përjashtime: .isp и .gg.
Motori i kërkimit është në zhvillim e sipër, por përdorimi i tij tashmë është i mundur sot - thjesht vizitoni faqen e internetit kërko.medium.isp.
Medium ka krijuar një autoritet të ri certifikues, Medium Global Root CA. Kush do të preket nga ndryshimet?
Dje ka përfunduar testimi publik i funksionalitetit të qendrës së certifikimit të CA me rrënjë të mesme. Në përfundim të testimit, gabimet në funksionimin e shërbimeve të infrastrukturës me çelës publik u korrigjuan dhe u krijua një certifikatë e re rrënjësore e autoritetit të certifikimit “Medium Global Root CA”.
U morën parasysh të gjitha nuancat dhe veçoritë e PKI - tani certifikata e re CA "Medium Global Root CA" do të lëshohet vetëm dhjetë vjet më vonë (pas datës së skadimit të saj). Tani çertifikatat e sigurisë lëshohen vetëm nga autoritetet e ndërmjetme të certifikimit - për shembull, "Serveri i Sigurt i Validimit të Domenit të Mesëm CA".
Si duket tani zinxhiri i besimit të certifikatës?
Çfarë duhet bërë që gjithçka të funksionojë nëse jeni përdorues:
Meqenëse disa shërbime përdorin HSTS, përpara se të përdorni burimet e rrjetit të mesëm, duhet të fshini të dhënat nga burimet e intranetit të mesëm. Ju mund ta bëni këtë në skedën Historia të shfletuesit tuaj.
Çfarë duhet bërë për të funksionuar gjithçka nëse jeni operator sistemi:
Duhet të rilëshoni certifikatën për shërbimin tuaj në faqe pki.mesatare.isp (shërbimi është i disponueshëm vetëm në rrjetin Medium).
Certifikatat e sigurisë për çdo shtëpi - si të krijoni shërbimin tuaj në rrjetin Yggdrasil dhe të lëshoni një certifikatë të vlefshme SSL për të
Për shkak të rritjes së numrit të shërbimeve të intranetit në rrjetin Medium, nevoja për lëshimin e certifikatave të reja të sigurisë dhe konfigurimin e shërbimeve të tyre në mënyrë që ato të mbështesin SSL është rritur.
Meqenëse Habr është një burim teknik, në çdo përmbledhje të re një nga pikat e rendit të ditës do të zbulojë veçoritë teknike të infrastrukturës së rrjetit të mesëm. Për shembull, më poshtë janë udhëzimet gjithëpërfshirëse për lëshimin e një certifikate SSL për shërbimin tuaj.
Shembujt do të tregojnë emrin e domenit domain.ygg, i cili duhet të zëvendësohet me emrin e domenit të shërbimit tuaj.
Hapi 1. Gjeneroni çelësin privat dhe parametrat Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Hapi 3. Paraqisni një kërkesë për certifikatë
Për ta bërë këtë, kopjoni përmbajtjen e skedarit domain.ygg.csr dhe ngjiteni në fushën e tekstit në sajt pki.mesatare.isp.
Ndiqni udhëzimet e dhëna në faqen e internetit, pastaj klikoni "Dërgo". Nëse është e suksesshme, një mesazh do të dërgohet në adresën e emailit që keni specifikuar që përmban një bashkëngjitje në formën e një certifikate të nënshkruar nga një autoritet certifikues ndërmjetës.
Hapi 4. Vendosni serverin tuaj të internetit
Nëse po përdorni nginx si serverin tuaj të internetit, përdorni konfigurimin e mëposhtëm:
skedar domain.ygg.conf në drejtori /etc/nginx/sites-available/
Certifikata që keni marrë me email duhet të kopjohet në: /etc/ssl/certs/domain.ygg.crt. Çelësi privat (domeni.ygg.çelës) vendoseni në një direktori /etc/ssl/private/.
Hapi 5. Rinisni serverin tuaj të internetit
sudo service nginx restart
Interneti falas në Rusi fillon me ju
Ju mund të ofroni të gjithë ndihmën e mundshme për krijimin e një interneti falas në Rusi sot. Ne kemi përpiluar një listë gjithëpërfshirëse se si saktësisht mund ta ndihmoni rrjetin:
Tregojuni miqve dhe kolegëve tuaj për rrjetin Medium. Shpërndaje sipas referencës në këtë artikull në rrjetet sociale ose në blogun personal
Merrni pjesë në diskutimin e çështjeve teknike në rrjetin Medium në GitHub
Krijoni shërbimin tuaj të internetit në rrjetin Yggdrasil dhe shtojeni atë në DNS i rrjetit të mesëm