Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Едвард Сноуден
Овај сажетак има за циљ да повећа интересовање Заједнице за питање приватности, што, у светлу постаје релевантнија него икада раније.
На дневном реду:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Подсети ме – шта је „средње“?
Средњи (Енглески Средњи - "посредник", оригинални слоган - Не тражите своју приватност. Повлачим; такође на енглеском реч средњи значи „средњи”) - руски децентрализовани Интернет провајдер који пружа услуге приступа мрежи бесплатно.
Пун назив: Средњи Интернет провајдер. У почетку је пројекат замишљен као в .
Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.
Више информација о теми:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Нема потребе да користите ХТТПС за повезивање са веб услугама на Иггдрасил мрежи ако се повежете на њих преко локално покренутог Иггдрасил мрежног рутера.
Заиста: Иггдрасил транспорт је на нивоу омогућава вам да безбедно користите ресурсе у оквиру мреже Иггдрасил - способност спровођења потпуно искључени.
Ситуација се радикално мења ако приступите Иггдарсиловим интранет ресурсима не директно, већ преко средњег чвора - приступне тачке средње мреже, којом управља њен оператер.
У овом случају, ко може да угрози податке које преносите:
- Оператер приступне тачке. Очигледно је да тренутни оператер приступне тачке средње мреже може да прислушкује нешифровани саобраћај који пролази кроз његову опрему.
- уљез (). Медиум има сличан проблем као , само у односу на улазне и међучворове.
Овако то изгледа
одлука: да бисте приступили веб услугама унутар Иггдрасил мреже, користите ХТТПС протокол (ниво 7 ). Проблем је у томе што није могуће издати прави безбедносни сертификат за Иггдрасил мрежне услуге на уобичајене начине као што је .
Стога смо основали сопствени сертификациони центар - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Могућност компромитовања роот сертификата сертификационог тела је, наравно, узета у обзир – али овде је сертификат потребнији да би се потврдио интегритет преноса података и елиминисала могућност МИТМ напада.
Сервиси средње мреже различитих оператера имају различите безбедносне сертификате, на овај или онај начин потписане од стране главног ауторитета за сертификацију. Међутим, Роот ЦА оператери нису у могућности да прислушкују шифровани саобраћај са сервиса за које су потписали безбедносне сертификате (погледајте ).
Они који су посебно забринути за своју безбедност могу користити таква средства као додатну заштиту, као нпр и .
Тренутно, инфраструктура јавног кључа средње мреже има могућност да провери статус сертификата користећи протокол или кроз употребу .
Доћи до тачке
Корисник начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .гг.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Такође је неопходно удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Корак КСНУМКС. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Затим:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Корак КСНУМКС. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confСадржај датотеке domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Корак КСНУМКС. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Корак КСНУМКС. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
фајл domain.ygg.conf у именику /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
фајл ssl-params.conf у именику /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
фајл domain.ygg.conf у именику /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Корак КСНУМКС. Перезапустите ваш веб-сервер
sudo service nginx restartБесплатан интернет у Русији почиње са вама
Можете пружити сву могућу помоћ успостављању бесплатног Интернета у Русији данас. Саставили смо свеобухватну листу тачно како можете помоћи мрежи:
- Реците својим пријатељима и колегама о мрежи Медиум. Објави на овај чланак на друштвеним мрежама или личном блогу
- Учествујте у дискусији о техничким питањима на мрежи Медиум
- Креирајте своју веб услугу на Иггдрасил мрежи и додајте је
- Подигни своје на средњу мрежу
Претходна издања:
Погледајте такође:
Ми в Телеграм:
Само регистровани корисници могу учествовати у анкети. , Добродошао си.
Алтернативно гласање: важно нам је да знамо мишљење оних који немају пун налог на Хабреу
-
↑
-
↓
Гласало је 7 корисника. 2 корисника су била уздржана.
Извор: ввв.хабр.цом