Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Едвард Сноуден
Овај сажетак има за циљ да повећа интересовање Заједнице за питање приватности, што, у светлу најновији догађаји постаје релевантнија него икада раније.
На дневном реду:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Подсети ме – шта је „средње“?
Средњи (Енглески Средњи - "посредник", оригинални слоган - Не тражите своју приватност. Повлачим; такође на енглеском реч средњи значи „средњи”) - руски децентрализовани Интернет провајдер који пружа услуге приступа мрежи Иггдрасил бесплатно.
Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Иггдрасил, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Нема потребе да користите ХТТПС за повезивање са веб услугама на Иггдрасил мрежи ако се повежете на њих преко локално покренутог Иггдрасил мрежног рутера.
Заиста: Иггдрасил транспорт је на нивоу protokola омогућава вам да безбедно користите ресурсе у оквиру мреже Иггдрасил - способност спровођења МИТМ напади потпуно искључени.
Ситуација се радикално мења ако приступите Иггдарсиловим интранет ресурсима не директно, већ преко средњег чвора - приступне тачке средње мреже, којом управља њен оператер.
У овом случају, ко може да угрози податке које преносите:
Оператер приступне тачке. Очигледно је да тренутни оператер приступне тачке средње мреже може да прислушкује нешифровани саобраћај који пролази кроз његову опрему.
одлука: да бисте приступили веб услугама унутар Иггдрасил мреже, користите ХТТПС протокол (ниво 7 ОСИ модели). Проблем је у томе што није могуће издати прави безбедносни сертификат за Иггдрасил мрежне услуге на уобичајене начине као што је Хајде да шифрирамо.
Стога смо основали сопствени сертификациони центар - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Могућност компромитовања роот сертификата сертификационог тела је, наравно, узета у обзир – али овде је сертификат потребнији да би се потврдио интегритет преноса података и елиминисала могућност МИТМ напада.
Сервиси средње мреже различитих оператера имају различите безбедносне сертификате, на овај или онај начин потписане од стране главног ауторитета за сертификацију. Међутим, Роот ЦА оператери нису у могућности да прислушкују шифровани саобраћај са сервиса за које су потписали безбедносне сертификате (погледајте „Шта је ЦСР?“).
Они који су посебно забринути за своју безбедност могу користити таква средства као додатну заштиту, као нпр ПГП и слично.
Тренутно, инфраструктура јавног кључа средње мреже има могућност да провери статус сертификата користећи протокол ОЦСП или кроз употребу ЦРЛ.
Доћи до тачке
Корисник @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .гг.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Корак КСНУМКС. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Корак КСНУМКС. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Корак КСНУМКС. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
фајл domain.ygg.conf у именику /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Корак КСНУМКС. Перезапустите ваш веб-сервер
sudo service nginx restart
Бесплатан интернет у Русији почиње са вама
Можете пружити сву могућу помоћ успостављању бесплатног Интернета у Русији данас. Саставили смо свеобухватну листу тачно како можете помоћи мрежи:
Реците својим пријатељима и колегама о мрежи Медиум. Објави референца на овај чланак на друштвеним мрежама или личном блогу
Учествујте у дискусији о техничким питањима на мрежи Медиум на ГитХуб-у
Креирајте своју веб услугу на Иггдрасил мрежи и додајте је ДНС средње мреже